Vous êtes sur la page 1sur 165

Instituto Nacional de Tecnologas de la Comunicacin

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado spam

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN

Instituto Nacional de Tecnologas de la Comunicacin

Edicin: junio 2008

INTECO quiere agradecer su colaboracin en la elaboracin de este estudio a:

La presente publicacin pertenece a Instituto Nacional de Tecnologas de la Comunicacin (INTECO) y est bajo una licencia Reconocimiento-No comercial 2.5 Espaa de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar pblicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podr en ningn caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los trminos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/

Instituto Nacional de Tecnologas de la Comunicacin

INDICE

PUNTOS CLAVE...................................................................................................................6
I II III IV V Correo electrnico no deseado: el spam............................................................................ 6 Impacto econmico y social del spam................................................................................ 6 El spam en cifras ................................................................................................................. 8 Posicionamiento y papel actual de los agentes ................................................................ 8 Recomendaciones y propuestas ......................................................................................... 9

Introduccin, objetivos y metodologa.....................................................................12


1.1 Presentacin.................................................................................................................... 12

Estudio sobre la situacin, naturaleza e impacto econmico del spam ................ 13 1.2 1.2.1 Objetivos generales ...................................................................................................... 13 1.2.2 Objetivos operativos y secundarios .............................................................................. 13 Entidades participantes ................................................................................................. 14 1.3 1.3.1 Instituto Nacional de Tecnologas de la Comunicacin................................................ 14 1.3.2 Empresas Colaboradoras ............................................................................................. 15 Diseo metodolgico ..................................................................................................... 16 1.4 1.4.1 Fase I: investigacin ..................................................................................................... 16 1.4.2 Fase II: anlisis documental ......................................................................................... 17 1.4.3 Fase III: conclusiones y recomendaciones .................................................................. 18 1.5 Estructura de contenidos............................................................................................... 18

Correo electrnico no deseado: spam ...................................................................19


2.1 2.2 2.3 Definicin de spam ....................................................................................................... 19 Remitentes de spam: los spammers ........................................................................ 20 Uso de redes comprometidas para el envo de spam: las botnets. ........................ 21

Ciclo de vida del spam ................................................................................................. 24 2.4 2.4.1 Fase I: recoleccin de direcciones de correo ............................................................... 26 2.4.2 Fase II: creacin del correo .......................................................................................... 28 2.4.3 Fase III: envo masivo................................................................................................... 29 2.4.4 Fase IV: refinamiento de listas ..................................................................................... 33 Tipos de spam ............................................................................................................... 34 2.5 2.5.1 Clasificacin por contenido del mensaje ...................................................................... 35 2.5.2 Clasificacin por formato del texto del mensaje ........................................................... 37 Evolucin y nuevos tipos de spam ............................................................................. 38 2.6 2.6.1 Spam por Internet ......................................................................................................... 38
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 3 de 165

Instituto Nacional de Tecnologas de la Comunicacin

2.6.2 2.6.3

Spam por telefona mvil .............................................................................................. 39 Spam por Voz sobre IP ................................................................................................ 39

Formas permitidas de correo masivo ........................................................................... 40 2.7 2.7.1 Sistema opt-in ............................................................................................................... 40 2.7.2 Sistema opt-out............................................................................................................. 40

Marco jurdico del correo electrnico no deseado .................................................42


3.1.1 3.1.2 3.1.3 3.1.4 Definicin de las comunicaciones comerciales va electrnica .................................... 43 Requisitos de licitud de las comunicaciones comerciales ............................................ 44 Responsabilidades ....................................................................................................... 45 Infracciones y sanciones .............................................................................................. 46

Impacto econmico y social del correo spam .......................................................48


4.1 Impacto econmico ........................................................................................................ 49 4.1.1 Impacto econmico del spam en las empresas espaolas ........................................ 54 4.2 Impacto social ................................................................................................................. 58

Resultado cuantitativo del estudio: el spam en cifras..........................................63


5.1 Situacin del spam en el panorama mundial ............................................................. 63 5.1.1 Zonas y pases emisores de spam ............................................................................. 65 5.1.2 Pases receptores de ataques de spam ..................................................................... 69 5.1.3 Evolucin de la tipologa de spam en el mbito internacional .................................... 71 5.1.4 Escritura del spam ...................................................................................................... 73 5.1.5 Tamao de los mensajes de spam............................................................................... 74 5.1.6 El spam en otros servicios: mvil y voz sobre IP ........................................................ 75

Situacin del spam en Espaa ................................................................................76


6.1 Situacin del spam en Espaa: resultados cuantitativos de la red de sensores de spam de INTECO ........................................................................................................................ 76 6.1.1 Anlisis descriptivo por categoras ............................................................................... 77 6.1.2 Pases emisores de spam con dirigidos a Espaa ..................................................... 79 6.1.3 Evolucin temporal del volumen de spam .................................................................. 81

Resultado cualitativo: posicionamiento y papel actual de los agentes ................83


7.1 7.2 Introduccin .................................................................................................................... 83 Los agentes ..................................................................................................................... 83

Situacin de los agentes implicados ............................................................................ 84 7.3 7.3.1 Perfil 1. Administracin Pblica .................................................................................... 84 7.3.2 Perfil 2. Empresas de telecomunicaciones .................................................................. 85 7.3.3 Perfil 3. Empresas de marketing electrnico ................................................................ 86 7.3.4 Perfil 4. Empresas prestadoras de servicios de seguridad .......................................... 87 7.3.5 Perfil 5. Usuarios .......................................................................................................... 87 7.3.6 Medidas de proteccin frente al spam ........................................................................ 88 7.4 Proteccin frente al spam de los agentes .................................................................. 97
Pgina 4 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

7.4.1 7.4.2 7.4.3 7.4.4 7.4.5

Perfil 1. Administracin Pblica .................................................................................... 97 Perfil 2. Empresas de telecomunicaciones .................................................................. 98 Perfil 3. Empresas de marketing electrnico ................................................................ 99 Perfil 4. Empresas prestadoras de servicios de seguridad .......................................... 99 Perfil 5. Usuarios ........................................................................................................ 100

Recomendaciones y propuestas ............................................................................101


8.1 8.2 Tendencias previsibles y propuestas de mejora para las organizaciones y usuarios 101 Recomendaciones de carcter normativo: Administracin ..................................... 102

Recomendaciones para empresas prestadoras de servicios .................................. 103 8.3 8.3.1 Recomendaciones para las empresas de marketing electrnico ............................... 103 8.3.2 Recomendaciones para las empresas prestadoras de servicios de seguridad ......... 104 Recomendaciones para usuarios ............................................................................... 106 8.4 8.4.1 Recomendaciones para organizaciones: empresas y Administracin ....................... 106 8.4.2 Recomendaciones para usuarios particulares: PYMES e individuos ........................ 109 8.5 El papel de la industria ................................................................................................. 111

Conclusiones ............................................................................................................115

ANEXO I: MARCO JURDICO DEL CORREO ELECTRNICO NO DESEADO (SPAM): NORMATIVA APLICABLE, INFRACCIONES, SANCIONES Y CASOS PRCTICOS ...121 ANEXO II: RELACIN DE PARTICIPANTES ..................................................................161 ANEXO III: NDICE DE GRFICOS..................................................................................163 ANEXO IV: NDICE DE TABLAS......................................................................................164

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 5 de 165

Instituto Nacional de Tecnologas de la Comunicacin

PUNTOS CLAVE
I Correo electrnico no deseado: el spam
El correo electrnico no deseado, spam, aparecido a finales de los aos setenta, se define comnmente como "correo electrnico masivo no deseado, en ingls UBE (Unsolicited Bulk E-Mail). El empleo del spam ha servido como vehculo de diversas formas de ataques informticos, a menudo basados en tcnicas de ingeniera social, como es el caso del phishing. El spam se desarrolla las distintas fases de existencia de:

CICLO DE VIDA DEL SPAM


1. Recoleccin de las direcciones de correo 2. Creacin del correo de spam

4. Refinamiento de listas de direcciones de correo

3. Envo masivo del spam


Fuente: INTECO

Resulta complicado homogeneizar una clasificacin de los diferentes tipos de spam por la diversidad de tcnicas empleadas por los spammers, pero se puede agrupar por el contenido del mensaje, por el formato del texto del mensaje o por sus evoluciones, nuevos medios o contenidos (mensajera instantnea o travs del telfono mvil).

En la actualidad existe una importante discusin sobre qu se considera spam, centrada en el marco de los correos masivos de listas de distribucin y publicitarios. Han aparecido dos sistemas de control sobre la recepcin de este tipo de correos para regularlos: la aceptacin previa para la primera comunicacin (sistema conocido por opt-in) o la opcin de cancelacin en cada comunicacin (sistema opt-out).

II Impacto econmico y social del spam


Las consecuencias del spam se analizan sobre los efectos derivados de este, tales como prdidas en tiempo, desconfianza en el servicio, consumos de ancho de

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 6 de 165

Instituto Nacional de Tecnologas de la Comunicacin

banda y en capacidad de almacenamiento, tiempos de recuperacin y reestablecimiento, etctera. De forma genrica, se concluye que el grueso del impacto econmico est relacionado con las prdidas de tiempo de proceso y humano, la necesaria inversin en nuevas infraestructuras tecnolgicas, tcnicos cualificados y herramientas antispam, y las prdidas econmicas como consecuencia de la prdida de informacin relevante para la actividad. El tiempo que cada trabajador dedica a eliminar el spam de su buzn de correo est entre dos y cuatro minutos al da por trmino medio. Slo por la prdida de tiempo que supone la eliminacin del spam, en el ao 2007 el coste econmico asociado a cada trabajador que utiliza diariamente el correo electrnico en su puesto de trabajo, se estima en 179. La catalogacin como spam de correos electrnicos legtimos, los llamados falsos positivos, tienen asociados importantes perjuicios para las organizaciones. En el mejor de los casos, es necesario que los usuarios y tcnicos del sistema inviertan un tiempo significativo en la recuperacin de esos correos legtimos, si no ha sido eliminado definitivamente. Las prdidas monetarias que puede ocasionar la no recepcin de esos correos no pueden ser calculadas. Los usuarios colocan el spam como la incidencia ms frecuente, por encima de los cdigos maliciosos (troyanos, programas espa, etctera) y la falta de confidencialidad. Todo esto ha generado una desconfianza relativa entre los usuarios habituales del correo electrnico. El grado de desconfianza es mayor en el entorno laboral que en el domstico, dada la importancia asociada al contenido de los mensajes en cada caso. Sin embargo, en ninguna de estas dos situaciones provoca la renuncia al uso del correo electrnico. Los usuarios reclaman medidas formativas y de carcter legislativo. Es comn encontrar opiniones sobre la necesidad de fortalecer medidas normativas inequvocas que esclarezcan las posibles acciones y sanciones correspondientes frente a los spammers. Empieza a experimentarse un cambio en la conducta del usuario ante el correo electrnico como consecuencia del spam. Es cada vez ms habitual que tome medidas de proteccin (programas antispam).

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 7 de 165

Instituto Nacional de Tecnologas de la Comunicacin

El fenmeno del spam ya no est solo encerrado en las barreras de Internet, sino que intenta llegar a otros servicios de comunicacin. Un ejemplo es la telefona mvil, que lo sufre actualmente por medio de los mensajes SMS y MMS, y la telefona de voz sobre IP (VoIP).

III El spam en cifras


Se revela un incremento en los ltimos aos: en la actualidad, tres de cada cuatro correos que se encuentran en circulacin en la Red son spam, aunque. Los filtros de correo depuran muchos de ellos hasta llegar al usuario final. La mayora del spam surge en los Estados Unidos, aunque resulta preocupante el incremento en su generacin que se observa en Europa, a pesar de que las leyes diseadas contra los spammers son ms restrictivas que las estadounidenses. En Europa, pases como Espaa, Suecia, Francia o Italia comenzaron a reportar porcentajes elevados de spam a partir de 2005. Espaa se coloca en el undcimo lugar en el mbito mundial en generacin de spam desde el ao 2006, por detrs de pases como Estados Unidos, China, Corea del Sur y Francia. Mientras en los tres primeros vienen reducindose progresivamente los niveles de emisin, en Espaa se ha doblado la cifra de produccin de spam en menos de un ao. El 84,6% de los mensajes de correo, de un total de 92 millones de correos analizados por INTECO para Espaa entre el 1 de enero y el 11 de marzo de 2008 a travs de 14 servidores para Espaa, fueron identificados como spam. El volumen analizado por la red de sensores de INTECO indica claramente que entre Estados Unidos, China, Corea del Sur y Rusia envan ms del 50% del total de mensajes no deseados que se recibe en Espaa. No existe un patrn semanal definido en cuanto al porcentaje de spam recibido.

IV Posicionamiento y papel actual de los agentes


Existe un denominador comn, la concienciacin existente en todas las organizaciones frente al problema del spam. Los organismos pblicos suelen gestionar el correo de manera interna; tanto los equipos como los registros y bases de datos se encuentran en la sede de la organizacin, siendo habitualmente el personal encargado de dicha gestin tcnicos pertenecientes a la propia Administracin.
Pgina 8 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

La mayora de las organizaciones de mediano y gran tamao suelen gestionar de manera interna tanto su sistema de informacin como su servicio de correo electrnico.

En cuanto a la aplicacin de mecanismos antispam, cabe destacar: Los agentes estudiados disponen en todos los casos de medidas de seguridad para la proteccin frente al correo electrnico no deseado, desde medidas de ndole tcnico, las ms utilizadas, hasta aquellas organizativas y de carcter normativo. Las medidas de proteccin ms utilizadas son las reactivas (una vez que ste se encuentra almacenado en el buzn del usuario), como la aplicacin de filtros en el anlisis del contenido de los correos electrnicos. El volumen de spam ha alcanzado volmenes muy importantes por lo que se ha hecho indispensable combatir el problema con anterioridad almacenamiento del spam en los buzones de los usuarios. o al

Es habitual la utilizacin de mecanismos de proteccin basados en listas de filtrado de direcciones (blancas, negras o grises).

Una particularidad interesante en cuanto a los servicios antispam empleados por los agentes estudiados es la tendencia a redirigir el correo a otras entidades para su filtrado.

V Recomendaciones y propuestas
El spam es un problema global, por ello es fundamental que todas las organizaciones sean conscientes de la necesidad de establecer acuerdos y polticas conjuntas perdurabilidad. que ofrezcan soluciones de mayor calado y

Es necesario reforzar el desarrollo de herramientas tcnicas de proteccin, sistemas antispam ms potentes y autnomos.

Es tambin necesario intensificar la concienciacin y formacin de la comunidad de Internet sobre el fenmeno. Recomendaciones normativas: Administracin. Si bien el desarrollo normativo espaol en materia de spam est muy avanzado, se recomienda principalmente un mayor esfuerzo que permita proteger a los usuarios y las empresas, estableciendo acuerdos y tratados multilaterales en los mbitos nacional e internacional. En particular se recomienda en este caso, entre otras:

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 9 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Incluir nuevos conceptos dentro de la legislacin para combatir el spam: como los nombres de dominio en la definicin de comunicacin comercial o la definicin de correo electrnico en la LSSICE. Por otra parte exigir la incorporacin de la palabra publicidad y los datos del anunciante en los mensajes, y determinar claramente el concepto de envo masivo para las comunicaciones comerciales. Ampliar el mbito de proteccin de la LOPD a las personas jurdicas. Recomendaciones para empresas prestadoras de servicios:

En el caso de las empresas de marketing electrnico se les recomienda, entre otras: o Generar confianza en clientes y destinatarios, por ejemplo facilitando los medios para darse de baja de listas de envo de contenido publicitario, agilizar la respuesta a las posibles reclamaciones o consultas de los destinatarios o establecer las tcnicas que permitan ajustar los contenidos anunciados a las necesidades de los destinatarios. Recomendaciones para las empresas que prestan servicios de seguridad: o Bsicamente se centran en recomendaciones de carcter tcnico como, por ejemplo, apoyar la calidad de los productos mediante certificaciones, desarrollar herramientas de seguridad para la proteccin del correo mvil y establecer mecanismos para el control de la emisin de correo por parte de los ordenadores personales de usuarios annimos. o En otro sentido tambin se les recomienda prever la evolucin del spam, intensificando la investigacin de forma que se pueda responder con agilidad a las previsibles formas futuras del spam. Recomendaciones para usuarios:

Recomendaciones para organizaciones: empresas y Administracin 1. A nivel general se les sugiere establecer una poltica de seguridad y un plan de recuperacin de desastres y continuidad de negocio. 2. Establecer planes de formacin interna a sus empleados en seguridad de la informacin. Difundir entre sus empleados informacin sobre cmo actuar frente al correo electrnico no deseado y a las salvaguardas antispam implantadas por la organizacin. Controlar la redireccin del correo electrnico por los empleados.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 10 de 165

Instituto Nacional de Tecnologas de la Comunicacin

De forma ms especfica se les recomienda:

1. Disear y aplicar polticas de uso del correo para empleados y para las empresas y los organismos con los que se relacionan y evitar la publicacin directa de direcciones de correo electrnico en sus pginas Web. 2. Establecer salvaguardas proactivas en los servidores de correo y evitar que los estos servidores acepten el envo sin autenticacin de usuarios. Recomendaciones para los usuarios particulares: PYMES e individuos A nivel general se recomienda aplicar normas bsicas de seguridad y solicitar al proveedor de servicios de Internet (ISP) la aplicacin de salvaguardas de seguridad. o De modo particular se les recomienda: prometen interesantes beneficios,

1. Desconfiar de los correos que generalmente desproporcionados,

2. No responder nunca a un correo electrnico no deseado, no visitar nunca direcciones Web recibidas o incluidas en correos electrnicos de incierta procedencia. 3. Si se recibe un aviso para ser dado de baja de una lista de distribucin, en la cual no se ha inscrito, no responder dicha solicitud 4. Utilizar la copia ciega (Ccc) al enviar un correo a una lista de direcciones. 5. Mantener siempre activas las herramientas de filtro antispam. 6. No publicitar la cuenta de correo de manera directa en Internet. 7. Utilizar varias cuentas de correo electrnico y emplearlas en el entorno adecuado (laboral, personal). 8. Utilizar nombres para las cuentas de correo que sean poco identificables.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 11 de 165

Instituto Nacional de Tecnologas de la Comunicacin

1 INTRODUCCIN, OBJETIVOS Y METODOLOGA


1.1 Presentacin

El actual impulso de la Sociedad de la Informacin, ha estimulado el aumento sustancial del nmero de usuarios y de las posibilidades de uso aplicadas en la comunicacin. Tanto la Administracin como las empresas y usuarios finales emplean frecuentemente la comunicacin electrnica a travs de diversos canales, siendo el correo electrnico uno de los ms utilizados 1 , como se observa en el Grfico 1. En este marco se plantean nuevos retos, entre los que cabe destacar el control sobre el uso indiscriminado del correo electrnico para realizar comunicaciones comerciales no solicitadas o fraudulentas, que suponen una clara amenaza para organizaciones y particulares.
Grfico 1: Servicios de Internet utilizados por los usuarios en sus hogares (%)

Correo electrnico Bsqueda de informacin Descarga de archivos (documentos, informacin, etc...) Chat (Messenger, ICQ, etc.) Banca online (consulta de saldo, transferencias, etc.) Compra online (libros, discos, dvd, viajes, entradas, etc) Foros (de mensajes, opinin, etc.) Juegos online Pagos por Internet (pay pal y servicios afines) Blog (diario electrnico) Videoconferencia Telefona por red (skype) 0 Abril 10 19,5 20,7 17,3 19,7 14,2 13,9 20 30 40 50 Enero 60 70 80 90 32,8 28,9 40,9 43,7 53,7 53,1 53,7 49,9 67,2 67,9 65,7 64,1 79,8 76,1 78,2 85,7

99,3 99,5

100

Fuente: INTECO

Ante esta situacin, se han previsto acciones de refuerzo de la seguridad y confianza en la Red dirigidas a ciudadanos, empresas y administraciones pblicas. A tal efecto, surge la necesidad de realizar un estudio sobre la situacin actual del correo electrnico no deseado en Espaa.

INTECO: Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (2 Oleada: Feb-Abr 07), 2008. Disponible en http://observatorio.inteco.es. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 12 de 165

Instituto Nacional de Tecnologas de la Comunicacin

1.2

Estudio sobre la situacin, naturaleza e impacto econmico del spam

El presente documento recoge los resultados del estudio describiendo, en primer lugar, los objetivos generales y secundarios que persigue la investigacin. En los siguientes captulos se detalla el anlisis tcnico sobre el spam y los hallazgos a nivel de impacto econmico y social y datos cuantitativos ms relevantes, basados en fuentes primarias y secundarias de informacin. Por ltimo, se analiza el posicionamiento de los distintos agentes que se ven implicados en este fenmeno y se proponen una serie de recomendaciones para mejorar la de seguridad frente al problema del spam. 1.2.1 Objetivos generales

El estudio se articula en torno a los siguientes objetivos generales: 1. Estudio cuantitativo y cualitativo del fenmeno del spam en Espaa a travs de las cifras registradas y de la opinin y percepcin de los agentes afectados por este, que darn un ndice del impacto global del correo electrnico no solicitado. 2. Establecimiento de la dimensin del problema desde los planos tecnolgico, social y jurdico para identificar las posibles vas de solucin. 3. Recomendaciones generales y especficas para cada agente, orientadas a minimizar los efectos del fenmeno. 1.2.2 Objetivos operativos y secundarios 1. Definicin y situacin actual del fenmeno del spam, tomando como referencia sus orgenes y tendencias ms recientes: a. Distintas formas de spam. b. Ciclo de vida del spam. c. Ataques conocidos y posibles soluciones. 2. Anlisis del marco jurdico. 3. Impacto econmico y social del spam. 4. El spam en cifras: importancia cuantitativa del spam en la Red. 5. Impacto en los agentes implicados segn perfiles, posicionamiento y papel actual ante el fenmeno. 6. Recomendaciones de actuacin y conclusiones.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 13 de 165

Instituto Nacional de Tecnologas de la Comunicacin

1.3 1.3.1

Entidades participantes Instituto Nacional de Tecnologas de la Comunicacin

El Instituto Nacional de Tecnologas de la Comunicacin (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a travs de proyectos del mbito de la innovacin y la tecnologa. La misin de INTECO es impulsar y desarrollar proyectos de innovacin relacionados con el sector de las Tecnologas de la Informacin y la Comunicacin (TIC) y, en general, en el mbito de la Sociedad de la Informacin que mejoren la posicin de Espaa y aporten competitividad, extendiendo sus capacidades tanto al entorno europeo como al latinoamericano. As, el Instituto tiene la vocacin de ser un centro de desarrollo de carcter innovador y de inters pblico en el mbito nacional que constituir una iniciativa enriquecedora y difusora de las nuevas tecnologas en Espaa en clara sintona con Europa. El objeto social de INTECO es la gestin, asesoramiento, promocin y difusin de proyectos tecnolgicos. Para ello, desarrollar actuaciones, al menos, en lneas estratgicas de seguridad tecnolgica, accesibilidad, innovacin en soluciones TIC para la Pyme, e-salud, e-democracia. http://www.inteco.es Observatorio de la Seguridad de la Informacin El Observatorio de la Seguridad de la Informacin se inserta dentro de la lnea estratgica de actuacin de INTECO en materia de seguridad tecnolgica. El Observatorio nace con el objetivo de describir de manera detallada y sistemtica el nivel de seguridad y confianza en la Sociedad de la Informacin y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las Administraciones pblicas espaolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la informacin y la e-confianza. El Observatorio ha diseado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y til en materia de seguridad, as como de elaborar recomendaciones y propuestas que definan tendencias vlidas para la toma de decisiones futuras por parte de los poderes pblicos. Dentro de este plan de accin se realizan labores de investigacin, anlisis, estudio, asesoramiento y divulgacin que atendern, entre otras, a las siguientes estrategias:

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 14 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Elaboracin de estudios e informes propios en materia de seguridad de las Tecnologas de la Informacin y la Comunicacin, con especial nfasis en la seguridad en Internet.

Seguimiento de los principales indicadores y polticas pblicas relacionados con la seguridad de la informacin y la confianza en el mbito nacional e internacional. Generacin de una base de datos que permita el anlisis y evaluacin de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigacin centrados en la seguridad TIC. Difusin de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, as como de informacin sobre la actualidad nacional y europea relativa a la seguridad y confianza en la Sociedad de la Informacin. Asesoramiento a las Administraciones pblicas en cuanto a seguridad de la informacin y confianza, as como apoyo a la elaboracin, seguimiento y evaluacin de polticas pblicas en este mbito.

http://observatorio.inteco.es 1.3.2 Empresas Colaboradoras

MessageLabs es uno de los principales proveedores de servicios de mensajera integrada y seguridad Web a nivel mundial. Cuenta con ms de 17.000 clientes distribuidos en ms de 86 pases que abarcan desde pequeas empresas hasta grandes compaas. La amplia gama de servicios de seguridad gestionada que ofrece MessageLabs permite proteger, controlar, cifrar y archivar comunicaciones por correo electrnico, Web y mensajera instantnea. MessageLabs Intelligence es una respetada fuente de datos, de anlisis de seguridad de correos electrnicos, sitios Web y mensajera instantnea, y de tendencias. Adems de ofrecer servicios de seguridad a ms de 2.500 millones de conexiones de correo electrnico y 1.000 millones de peticiones Web cada da, dispone de informacin sobre las amenazas globales de seguridad del correo electrnico basndose en datos reales pertenecientes a sus sensores, distribuidos por todo el mundo. Ms informacin en: http://www.messagelabs.com Sophos permite que empresas de todo el mundo protejan y controlen sus infraestructuras de TI. Sus soluciones de correo electrnico, Web, estaciones de trabajo y control de acceso a la red simplifican la seguridad para ofrecer una defensa integrada contra programas maliciosos, programas espa, intrusiones, aplicaciones y correo no deseados, abuso de polticas, fugas de datos e incumplimiento de polticas. Con ms de 20 aos de experiencia, protegemos a ms de 100 millones de usuarios en aproximadamente 150
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 15 de 165

Instituto Nacional de Tecnologas de la Comunicacin

pases con sus soluciones y servicios de seguridad. Sophos tiene sedes centrales en Boston, Massachusetts y en Oxford, Reino Unido. Ms informacin en: http://esp.sophos.com Spamina es una empresa espaola que ofrece al mercado soluciones globales de seguridad para el correo electrnico, proporcionando todas las opciones para blindar a empresas y particulares contra los ataques que se producen a travs del e-mail. Con sus diferentes soluciones, combate hasta el correo no deseado (spam), virus y correo fraudulento (phishing) o malicioso (spoof), y ofrece a sus usuarios el control y movilidad total en la gestin de sus cuentas de correo, con independencia del dispositivo que se utilice para acceder a este (PC, porttil, PDA, BlackBerry, etc.). Spamina (Aegis Security) cuenta con oficinas en Barcelona, Madrid, Gerona y Buenos Aires (Argentina). Ms informacin: http://www.spamina.com/ 1.4 Diseo metodolgico

Para alcanzar los objetivos planteados, el estudio se ha realizado mediante una metodologa en tres fases consecutivas: 1.4.1 Fase I: investigacin

El objetivo de esta fase es la documentacin y recogida de datos de distinta naturaleza bajo el marco del fenmeno del spam. 1. Estudio y documentacin tcnica sobre el origen, evolucin y tendencias del spam. 2. Realizacin de 25 entrevistas a distintos agentes, entre los que se encuentran tanto expertos en seguridad como usuarios de los mbitos empresarial y domstico. Se trata de identificar la visin del conjunto de estos agentes sobre el spam y sus demandas de actuacin para mitigar sus efectos. Para un mejor anlisis en fases posteriores, cada uno de los agentes involucrados se ha asociado a uno de los siguientes perfiles: Perfil 1: Administracin Pblica. Perfil 2: Empresas de telecomunicaciones. Perfil 3: Empresas de marketing electrnico. Perfil 4: Empresas prestadoras de servicios de seguridad. Perfil 5: Usuarios.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 16 de 165

Instituto Nacional de Tecnologas de la Comunicacin

3. Recoleccin de las cifras sobre el spam en Espaa y en el mbito mundial, a travs de la informacin recopilada en fuentes primarias (proporcionada por INTECO) y secundarias. El estudio est basado en parte en una recopilacin de datos extrados de las distintas fuentes secundarias, lo que conlleva pequeas diferencias en los volmenes presentados. Los datos sobre el caso espaol proceden de INTECO, a travs de su red de sensores de spam, que se compone de 14 sensores distribuidos geogrficamente, situados en servidores de correo de pymes y usuarios, y monitorizados a travs de 13 herramientas antispam distintas. Se trata de una informacin muy amplia, que requiere de la adecuacin y clasificacin de los datos para su posterior anlisis. 4. Investigacin sobre los aspectos legales y las sentencias judiciales en Espaa y la Unin Europea directamente relacionados con el spam, tratando de identificar las bondades y carencias del marco jurdico actual. 1.4.2 Fase II: anlisis documental

Una vez recogida la informacin, se analiza para la obtencin de las conclusiones, que sern debatidas y contrastadas. 1. Estudio cualitativo. Analiza en detalle el resultado de las entrevistas. De l deriva un conjunto de conclusiones preliminares. 2. Anlisis cuantitativo de los datos obtenidos a travs de sensores. Consta por un lado de un anlisis descriptivo basado en las medias de posicin y dispersin, as como una descripcin grfica adecuada al tipo de variables (histogramas, diagramas de barras, etctera), y por otro de anlisis y tests estadsticos de comparacin. 3. Anlisis del marco jurdico espaol. Se realiza un estudio completo, desarrollado en un anexo, sobre la normativa aplicable, las infracciones contempladas y las sanciones previstas, y se documenta con varios casos legales prcticos referidos al fenmeno del spam. Adems, incluye sentencias que permiten completar las conclusiones fundamentales y orientar hacia las recomendaciones desde el plano legal 2 . 4. Debate sobre las conclusiones preliminares de esta fase mediante mesas de trabajo con representacin de los perfiles de agentes identificados, que cuentan con toda la informacin documentada del trabajo, para extraer las conclusiones finales del estudio.

INTECO: Marco jurdico del correo electrnico no deseado (spam): normativa aplicable, infracciones, sanciones y casos prcticos, 2008. Disponible en http://observatorio.inteco.es. Pgina 17 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

1.4.3

Fase III: conclusiones y recomendaciones

Tiene como finalidad redactar un conjunto de recomendaciones que sintetice las lneas de actuacin que pueden considerar los usuarios, empleados y organizaciones, cada uno en virtud de sus competencias, para mitigar de forma preventiva, e incluso anular, los efectos del spam en la Sociedad del Conocimiento. En esta fase se constituirn las conclusiones finales del estudio. 1.5 Estructura de contenidos

El estudio se estructura de la siguiente forma: En primer lugar, se expone el origen, la definicin, el ciclo de vida y la evolucin del spam como parte de la panormica global de las tcnicas maliciosas a travs de la Red. En el siguiente captulo se introduce el marco jurdico del spam, que incluye el estudio bsico de los aspectos jurdicos relativos a este tipo de correo electrnico (captulo 3). En un documento anexo se presenta, de forma exhaustiva, todo el anlisis del marco jurdico y derecho comparado, tanto nacional como internacional, en referencia al spam. Se documenta la normativa aplicable a este fenmeno, las infracciones, repercusiones legales y las sanciones aplicables. Tambin se incluyen casos reales sobre el spam, su desarrollo y sentencias. En el siguiente captulo se trata el impacto econmico y social del spam. Se aportan cifras representativas en trminos de coste para las organizaciones y su repercusin (captulo 4). Datos sobre el estudio cuantitativo. Se aporta informacin estadstica sobre el spam, procedente de las mediciones realizadas por un conjunto de sensores de INTECO distribuidos por toda Espaa y de otras fuentes (captulo 5). En el captulo 6 se aborda el posicionamiento y papel de los agentes afectados por el spam, incluyendo entidades pblicas y privadas, contemplando cual es su situacin actual y qu medidas de actuacin concretas estn llevando a cabo. Se incluye aqu el anlisis de los resultados del estudio cualitativo, obtenidos mediante las entrevistas y grupos de debate con expertos de los sectores de actividad involucrados. En el captulo 7, se identifican las principales propuestas y recomendaciones para afrontar el problema del spam para cada uno de los perfiles. En el captulo 8 de este informe se presentan las conclusiones finales del estudio.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 18 de 165

Instituto Nacional de Tecnologas de la Comunicacin

2 CORREO ELECTRNICO NO DESEADO: SPAM


2.1 Definicin de spam

Los orgenes del spam se remontan a finales de los aos setenta: el primer mensaje reconocido como tal fue enviado a los usuarios de ARPANET 3 en mayo de 1978. El creador de este correo fue Gary Thuerk, un comercial de DEC (Digital Equipment Corporation), que envi un mensaje publicitario a una lista de usuarios ARPANET, sobre los que su empresa deseaba ampliar mercado, hecha manualmente. Aunque la informacin enviada result de inters para alguno de los destinatarios, los problemas que ocasion en el sistema iniciaron el debate sobre la conveniencia o no de controlar el correo y, de algn modo, censurar aquellos publicitarios de envo masivo. En 1994, los abogados Canter y Martha SIegel de Phoenix enviaron correos masivos publicitando exitosamente su firma, quedando as al descubierto las ventajas del uso de esta va y la enorme influencia que tena sobre los cada vez ms usuarios de la red global. Pero al tiempo que se abra esta puerta en beneficio de los negocios, se abran otras muchas que no slo favorecan el crecimiento del envo y reenvo incontrolado de estos mensajes no deseados, sino adems otras amenazas de seguridad, como los cdigos maliciosos (troyanos, spyware, etc.) o el phishing. El correo electrnico se ha consolidado como uno de los pilares fundamentales de la Sociedad de la Informacin. Al igual que otros muchos servicios a travs e Internet, su empleo de forma universal ha servido como vehculo masivo de diversas formas de ataques informticos, a menudo basados en tcnicas de ingeniera social. Dentro del abanico de usos indebidos de esta tecnologa de comunicacin, llama especialmente la atencin el auge que est adquiriendo el fenmeno del spam. Destacan dos definiciones del trmino, hasta el momento las ms citadas, que aparecen publicadas en el proyecto Spamhaus 4 , dedicado a la proteccin en tiempo real del spam: La primera denomina spam al "correo electrnico masivo no deseado (en ingls UBE, Unsolicited Bulk E- Mail). La segunda lo define como todos aquellos correos publicitarios no autorizados (en ingls UCE, Unsolicited Comercial E-Mail).

ARPANET (Advanced Research Projects Agency Network) fue creada por encargo del Departamento de Defensa de los Estados Unidos como medio de comunicacin para los diferentes organismos del pas y est considerada la red que dio origen a Internet.
4

http://www.spamhaus.org/ Pgina 19 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

Una definicin ms formal, en trminos de polticas de empleo aceptable del correo, es dada por Mail Abuse Prevention System 5 , por la que el correo electrnico debe ser considerado spam si cumple las siguientes condiciones: La identidad del destinatario del correo y el contenido son irrelevantes, por cuanto el mensaje no est personalizado y podra aplicarse a muchos otros receptores. 2.2 El destinatario no ha concedido permiso para que se le enve el mensaje. La recepcin del mensaje brinda un beneficio al que lo recibe. Remitentes de spam: los spammers

Los responsables de desarrollar y/o desplegar el correo de tipo spam, ya sea de forma particular u organizada con fines lucrativos, son denominados spammers. Por su parte, se llama spamware al software desarrollado por los spammers para la generacin y envo de spam. As, el spamware puede incorporar, conjunta o separadamente, funcionalidades para la obtencin o creacin de direcciones de correo objetivos, el envo y distribucin masiva de forma automtica de e-mails o la explotacin de vulnerabilidades de los sistemas. Aunque muchos correos basura, generados automticamente o no, mueren en los propios buzones de destino al ser simplemente borrados por los receptores, otros son reenviados. Tras leer un correo interesante, sensacionalista o aparentemente ventajoso, los destinatarios deciden reenvirselo a sus conocidos o realizar otras acciones a las que el propio contenido del correo les induce (por ejemplo, ejecutar un fichero adjunto, visitar un determinado sitio web o hacer una compra online). Por ello, el spam forma parte de las amenazas de seguridad que recurren a la ingeniera social. Aunque hoy en da se estn desarrollando diversas tcnicas y medidas contra el spam (antispam), los spammers estudian estas variantes para generar nuevas formas que mejoran las anteriores y consiguen sortear la actuacin de las herramientas. Incluso en muchos casos se aprovechan precisamente de su existencia para generar nuevos problemas en las comunicaciones y en los sistemas; tngase en cuenta, por ejemplo, la aparicin de falsos positivos 6 cuando las herramientas antispam intentan filtrar el correo. Ante esto, muchos usuarios solicitan a su administrador del servicio de correo la desactivacin de dicha proteccin ante el riesgo de perder correos importantes, fortaleciendo as la actividad de los spammers.

5 6

Mail Abuse Prevention System (MAPS): Asociacin internacional de lucha contra el spam. http://www.mail-abuse.com/

Falsos positivos: aquellos correos electrnicos vlidos que son filtrados por el software antispam como correo electrnico no deseado. Este concepto se contrapone al de falso negativo, correos electrnicos no deseados que los filtros antispam no reconocen como tales y pasan por correos vlidos. Pgina 20 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

2.3

Uso de redes comprometidas para el envo de spam: las botnets.

Una de las caractersticas actuales en el envo del spam consiste en la utilizacin de las botnets o redes de ordenadores comprometidos como plataforma para el envo de los correos y ocultacin del rastro del spammer. Son redes en las que los spammers instalan un software especfico que les permite controlar y utilizar las mquinas a travs de Internet para sus fines. Cada uno de estos ordenadores suele conocerse con el nombre de mquina zombie, y est bajo el control total del atacante 7 . Una vez que un ordenador ha sido comprometido, normalmente a travs de un troyano, entra a formar parte automticamente de la botnet, y para ello habitualmente se inicia una comunicacin a travs del protocolo IRC 8 , registrndose en un servidor y canal concreto, cuyo acceso est protegido por contrasea, y el propio ordenador queda a la espera de instrucciones. Con esta idea ingeniosa, los diseadores de este software consiguen varios objetivos de forma sencilla: Evitan la necesidad de disear e implementar su propio protocolo de comunicaciones, pues utilizan la sintaxis y la infraestructura del protocolo IRC. Camuflan la comunicacin entre las mquinas zombies y los servidores correspondientes dentro del trfico IRC, que sin un anlisis detallado, podra parecer inocua. Pueden controlar cientos o miles de mquinas simultneamente a travs de una estructura jerrquica, lo que facilita esta tarea desde un nico servidor IRC.

Sin embargo, este esquema tiene tambin una serie de desventajas. La ms importante es que se basa en un diseo centralizado, por lo que si el servidor IRC falla o es desactivado, la comunicacin con las mquinas zombies se pierde. Con el objetivo de superar esta limitacin, los responsables maliciosos de estas redes han cambiado radicalmente el esquema. El nuevo esquema incluye caractersticas de las redes P2P 9 , descentralizadas por naturaleza, lo que hace su neutralizacin mucho ms difcil. La importancia del uso de estas redes ha ido incrementndose paulatinamente, hasta el punto de que, en la actualidad, se estima que el 80% del spam es enviado utilizando este mtodo. Se caracteriza por:

7 8 9

INTECO: Amenazas silenciosas en la Red: rootkits y botnets, 2007. http://observatorio.inteco.es El protocolo IRC (Internet Relay Chat) es uno de los primeros protocolos de mensajera instantnea.

Peer-to-peer: red que no tiene clientes ni servidores fijos, sino una serie de nodos que se comportan simultneamente como clientes y como servidores de los dems nodos de la Red. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 21 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Eficiencia significativa en el envo masivo de spam en los mtodos actuales que estn ms automatizados en la recogida de direcciones y envo de correos, frente a mtodos ms tradicionales. Aprovechamiento de un gran ancho de banda. Al contar con un nmero muy elevado de mquinas, aunque cada una de ellas aporte un limitado ancho de banda, el resultado final es que estas redes pueden generar trfico en tasas realmente elevadas. Sin embargo, se ha detectado recientemente una nueva tendencia en los spammers con ms experiencia: utilizan tasas bajas de envo en cada nodo de la Red, de forma que, aunque siguen siendo capaces de enviar millones de correos en un da, el volumen de trfico en cada nodo es demasiado bajo para ser detectado o clasificado como sospechoso. Por ejemplo, una red de 150.000 mquinas, cantidad habitual en las ms grandes, puede enviar 50 millones de correos en un da. Sin embargo, cada nodo slo tiene que procesar unos 330, pocos para levantar sospechas. Dispersin de la fuente de envo. Al ser redes distribuidas por naturaleza, tanto en su modo de funcionamiento como geogrficamente, no existe un nico punto de envo que pueda ser neutralizado con mayor facilidad. Facilidad para la recuperacin. Otra consecuencia de la naturaleza distribuida de estas redes es que aumenta notablemente su resistencia al cierre por parte de las autoridades o ISP (Internet Service Provider, proveedor de servicios de Internet). Adems, tambin se incrementa su tolerancia a fallos, pues aunque uno o varios nodos dejen de funcionar, lo que pasa muy a menudo, la Red es capaz de seguir operando a nivel global. Las distintas estrategias por las que los atacantes son capaces de comprometer nuevas mquinas e integrarlas en su botnet se conocen con el nombre de vectores de infeccin. Los ms importantes y utilizados son: Vector de infeccin basado en la navegacin web. El simple hecho de navegar por Internet puede producir que una mquina sea comprometida, habitualmente aprovechando vulnerabilidades en los navegadores. Vector de infeccin basado en redes P2P. Como es previsible, un mtodo de propagacin natural para los troyanos es la utilizacin de redes de intercambio de archivos P2P, en las que no existen mecanismos de seguridad integrados. Segn algunos estudios recientes, casi el 50% de los programas ejecutables que pueden encontrarse en estas redes estn infectados con alguna clase de malware. Para incrementar el atractivo de los archivos ejecutables y conseguir que el mximo

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 22 de 165

Instituto Nacional de Tecnologas de la Comunicacin

nmero posible de usuarios los descarguen y ejecuten, muchos de ellos estn camuflados utilizando el reclamo del contenido de carcter sexual. Vector de infeccin basado en el correo electrnico. El malware se camufla como un programa legtimo: salvapantallas, juegos, etctera. Tradicionalmente, las mquinas constituyentes de las botnets han sido sobre todo ordenadores de usuarios domsticos de Internet. Sin embargo, las redes corporativas o universitarias se ven involucradas cada vez ms. Segn fuentes de grandes compaas antivirus, los incidentes de seguridad relacionados con mquinas comprometidas para entrar a formar parte de una botnet se han multiplicado por cuatro respecto al 2006. El software de ataque y control de una mquina zombie no es muy diferente a otros tipos de malware, por lo que las medidas para evitar que el ordenador entre a formar parte de una red son tambin similares. A modo de resumen, se pueden citar las siguientes: Bloquear todo el trfico de correo entrante no solicitado en los cortafuegos perimetrales. Aun cuando los ordenadores del interior de la Red son comprometidos, estos no pueden ser finalmente activados si el atacante no puede comunicarse con ellos. Para sortear esta limitacin, muchas botnets estn diseadas para que la mquina comprometida inicie la comunicacin. En ese caso, es aconsejable restringir o, al menos, analizar el trfico de protocolos como IRC o P2P en busca de patrones que puedan sugerir una infeccin. En este sentido, es muy aconsejable utilizar un sistema de deteccin de intrusin (IDS) para monitorizar el trfico en busca de actividad sospechosa. Todo ello puede hacerse identificando horarios de conexin inusuales y volmenes de trfico inapropiados para estos servicios de mensajera. Utilizar herramientas antivirus actualizadas. Aunque no es una garanta absoluta frente a las nuevas versiones de malware, muchas de las amenazas ya existentes s son detectadas por un buen software antivirus. Actualizar el sistema de los equipos. Las botnets, como otros tipos de malware, utilizan frecuentemente vulnerabilidades no parcheadas para tomar el control de las mquinas que atacan. Bloquear del trfico de salida en el puerto 25 (SMTP). Como se ha mencionado, muchos tipos de malware incorporan un servidor SMTP propio que utilizan para seguir propagndose o utilizar las mquinas atacadas como distribuidoras de spam. Por tanto, nicamente los servidores de correos autorizados deberan ser capaces de distribuir trfico SMTP desde la red interna de una corporacin.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 23 de 165

Instituto Nacional de Tecnologas de la Comunicacin

2.4

Ciclo de vida del spam

El spam, como cualquier ataque a la seguridad, se desarrolla en diferentes etapas, destacando fundamentalmente las relacionadas con la bsqueda de los puntos de entrada al sistema, es decir, con la recoleccin de direcciones de correo electrnico. A continuacin, se produce la creacin del correo spam, seguida del envo y ataque y, por ltimo, la comprobacin de su xito y el refinamiento de las listas empleadas. De esta forma, se pueden identificar las siguientes fases durante el ciclo de desarrollo del spam, que se explican a continuacin: 1. Fase I: recoleccin de direcciones de correo. Se caracteriza por recopilar o generar de modo automtico, direcciones de correo sobre las cuales lanzar el spam. Esta bsqueda utiliza diversas tcnicas que permiten descubrir direcciones realmente activas, es decir, que estn en uso y, por tanto, son revisadas por los usuarios finales. 2. Fase II: creacin del correo spam. Se genera un mensaje de correo que llame la atencin al receptor para que decida leerlo. Adems, estar escrito de forma clara y contener un mensaje creble que induzca al destinatario a responderlo, reenviarlo o realizar cualquier otra accin. 3. Fase III: envo masivo. Es el momento en el cual el spammer elige y desarrolla diversas tcnicas de envo del mensaje de correo para que llegue a sus mltiples destinos, evitando las posibles protecciones y ser descubierto como emisor del mensaje. Una vez realizado el reenvo continuado, se podrn desplegar ciertos ataques en cada mquina, a menudo con la colaboracin involuntaria del usuario. 4. Fase IV: refinamiento de listas. Mecanismo para chequear la existencia y uso de las direcciones de correo a los que se enva el spam. El ataque slo tiene xito si se lanza sobre direcciones activas.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 24 de 165

Instituto Nacional de Tecnologas de la Comunicacin

CICLO DE VIDA DEL SPAM

Fase I: Recoleccin de direcciones de correo


Recoleccin Pasiva:
En pginas web En listas de correos Mediante ingeniera social

Recoleccin Activa:
Mediante solicitud directa de la direccin de correo Mediante robots de bsqueda Mediante ataques a servidores de correo o PC Mediante ataques a aplicaciones de Internet Mediante bsquedas por diccionario

Fase II: Creacin del correo


Partes que, de forma conjunta o por separado, pueden presentarse en el correo de tipo spam:
Reclamo de atencin Presentacin de credenciales Continuidad de la relacin Introduccin de la oferta Tctica de presin Solicitud de respuesta Poltica de salida corts

Fase III: Envo masivo


Tcnicas de envo masivo:
Basadas en servidores de correo con configuracin abierta Basadas en troyanos Basadas en servidores SMTP internos Basadas en redes de ordenadores comprometidos Basadas en el falseo del remitente Basadas en la personalizacin de los mensajes Basadas en la ofuscacin del mensaje: o Mediante imgenes o Mediante invisibilidad del texto o Mediante letras espaciadas o Mediante corte vertical o Mediante cdigo script

Tcnicas de tratamiento de los mensajes:

Fase IV: Refinamiento de listas


Tcnicas de refinamiento:
Pruebas de lectura Enlaces y pginas para dar de baja en listas Correos de confirmacin

Fuente: INTECO

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 25 de 165

Instituto Nacional de Tecnologas de la Comunicacin

2.4.1

Fase I: recoleccin de direcciones de correo

Para el envo de spam se requiere de un listado de direcciones de correo. A su vez, para que el envo tenga xito es necesario que estas cuentas estn realmente activas. Por tal motivo, los spammers utilizan diversas tcnicas para generar y obtener listas de direcciones eficientes. Algunas bsquedas se realizan de forma manual, personalmente por los propios spammers; este tipo es conocido como recoleccin pasiva y se suele realizar llevando a cabo una o varias de las tcnicas descritas a continuacin: 1. Recoleccin en pginas web: la captacin de direcciones de correo que se encuentran listados en pginas web personales o de empresas, en los foros de discusiones, pginas blancas y amarillas, etctera es el mtodo ms sencillo. 2. Recoleccin en listas de correo: listas de noticias, de distribucin, chats, etctera. 3. Recoleccin mediante ingeniera social: basada en tcnicas de mltiples reenvos entre usuarios de correo con contenido de diversa ndole. As, los usuarios incluirn los contactos de su libreta de direcciones en el correo reenviado, entre los cuales se encontrar el propio emisor. De esta manera, el spammer puede obtener un gran nmero de direcciones de correos, generalmente activas. La creacin de las listas de direcciones de correo tambin puede hacerse de forma automatizada, por mtodos de recoleccin activa. Algunos ejemplos de tcnicas basadas en dicho mtodos son: 1. Recoleccin mediante solicitud directa de la direccin de correo: mtodos basados en pginas engaosas en las que se solicita a la vctima la direccin de correo para acceder a un determinado servicio, como el envo de postales electrnicas o las descargas gratuitas. 2. Recoleccin mediante robots de bsquedas: mtodo ms sofisticado basado en los robots de bsquedas o araas, software que busca y colecciona direcciones de correo en los sitios web de forma masiva (en ingls, harvesting). Estos programas

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 26 de 165

Instituto Nacional de Tecnologas de la Comunicacin

barren todas las pginas web accesibles en la Red, analizndolas en busca de patrones que encajen con direcciones de correo electrnico. 3. Recoleccin mediante ataque a servidores de correos o PC: tcnicas de hacker de entrada ilcita en servidores de correo u ordenadores personales, explotando las brechas de seguridad de estos sistemas, para apropiarse de los directorios y libretas de contactos. 4. Recoleccin mediante ataque a aplicaciones de Internet: puede considerarse un subtipo del anterior. El caso ms comn es la explotacin de las propiedades, y/o vulnerabilidades o errores de los navegadores web. Por ejemplo, son conocidas las tcnicas de obtencin de direcciones de correo electrnico basadas en el funcionamiento del protocolo FTP annimo o en ciertas cabeceras del protocolo HTTP. 5. Recoleccin mediante bsqueda por diccionario: tcnicas usadas en otros contextos, pero que tambin son aplicadas en la elaboracin de listas de correos. En este caso, consiste en generar una larga lista, probando sistemticamente posibles direcciones de correo electrnico; a continuacin, se comienza un proceso de ensayo y error con estas cuentas para identificar si estn activas. Las direcciones se componen alterando nombres comunes por combinaciones lgicas de patrones. Junto a las tcnicas de recoleccin pasiva y activa, conviene destacar una tercer tipo consistente en la compra directa de bases de datos de direcciones de correo. Este ltimo mtodo es fraudulento e ilegal en la mayor parte de los pases. Cada una de las tcnicas que se han analizado (recoleccin pasiva, generacin automtica y compra de bases de datos) puede ser evaluada y comparada cualitativamente en trminos de dificultad tcnica, eficacia y recursos necesarios desde el punto de vista del spammer (Tabla 1). En relacin a los recursos, cabe sealar que en estas tcnicas los recursos econmicos necesarios son por lo general reducidos; en el caso de la compra directa de bases de datos, el coste puede fluctuar drsticamente en funcin del volumen de que se trate, mientras que en los otros dos mtodos el coste es independiente del tamao de la lista. En cuanto a otros recursos necesarios, se sealan los materiales (equipos y ancho de banda, con el coste asociado de cada uno de ellos) y humanos. Para las tcnicas de recoleccin activa mediante generacin automtica son necesarios una serie de programas. No son tcnicamente muy complejos, aunque exigen ciertos conocimientos de redes y programacin. Lamentablemente, cada vez son ms los programas disponibles en Internet que pueden ser empleados por usuarios con un nivel de conocimiento bsico.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 27 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Tabla 1: Comparativa de mtodos de recoleccin de direcciones

Tcnica Recoleccin pasiva Generacin automtica Compra de listas

Dificultad tcnica Baja Media Alta/Baja

Eficacia Baja Baja Media

Recursos necesarios Econ. Bajos Bajos Altos/ Bajos Mater. Medios Bajos N/A Huma. Medios Bajos Medios
Fuente: INTECO

2.4.2

Fase II: creacin del correo

Existen diferentes tipos spam de contenido y objetivo variado. Por ello y por su constante evolucin, resulta muy difcil describir un prototipo genrico de correo spam. A pesar de eso, todo correo spam necesita comunicar al receptor de forma clara un mensaje que le induzca a responderlo, reenviarlo o realizar cualquier otra accin requerida. Las principales partes que, de forma conjunta o por separado, pueden presentarse en un correo de tipo spam son: Reclamo de atencin: el asunto del correo, corto y conciso, persigue el objetivo de que el receptor no lo borre, no asuma que es un correo spam, sino que desee abrirlo. Presentacin de credenciales: el cuerpo del mensaje destaca la solvencia de la organizacin y las ventajas que ofrece al usuario. Continuidad de la relacin: se refiere generalmente a una falsa comunicacin anterior y trata de convencer al usuario de que ha solicitado cierta informacin, desviando la idea de que puede tratarse de un correo spam.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 28 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Introduccin de la oferta: se divide generalmente en una enumeracin detallada de los productos o servicios de la empresa con sus precios, seguido de los detalles de la oferta.

Tctica de presin: pretende incitar al usuario a comprar inmediatamente el producto o realizar la accin solicitada. Solicitud de respuesta: consiste en la descripcin de la accin que se desea que el usuario haga a partir del correo electrnico recibido, mezclndose con la tctica de presin para lograrlo. Puede caracterizarse por ofrecer datos de contactos como nmeros de telfono, direccin de correo o enlaces web, o incluir directamente hipervnculos. Esta parte constituye el elemento fundamental del correo spam, pues es la que define su objetivo y ataque. Aqu puede combinarse con otros ataques como los de phishing, inyeccin de virus, troyanos, etctera.

Poltica de salida corts: brinda una va para no continuar recibiendo este tipo de mensajes (opcin opt-out). A diferencia de los correos publicitarios lcitos, en los falsos esta opcin persigue el objetivo de hacerlo ms creble y puede tratarse de una forma de desplegar un determinado ataque. Fase III: envo masivo

2.4.3

Distribuir un mensaje de correo a varios destinatarios es una tarea relativamente sencilla y econmica; basta con conocer los pasos adecuados del protocolo de correo SMTP 10 . Su sencillez permite incluso que algunos correos spam sean generados muchas veces de manera manual, si bien esto no es una tcnica comn en un mundo digitalizado. El

SMTP, Simple Mail Transfer Protocol (SMTP): protocolo simple de transferencia de correo. Protocolo de red basado en texto utilizado para el intercambio de mensajes de correo electrnico entre computadoras o distintos dispositivos RFC 2821. http://www.ietf.org/rfc/rfc2821.txt. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 29 de 165

10

Instituto Nacional de Tecnologas de la Comunicacin

fenmeno del spam toma dimensiones mayores con el desarrollo de los programas que implementan estas comunicaciones SMTP y que explotan sus vulnerabilidades para enviar los correos de forma automatizada y masiva. Las tcnicas de envo masivo se detallan a continuacin. 1. Tcnicas basadas en servidores de correo con configuracin abierta (en ingls, configuracin Open Relay 11 ). Son servidores de correo que, por ejemplo, no necesitan un usuario y contrasea para ser utilizados por terceras personas para el envo de correos electrnicos. Por lo tanto, un spammer puede emplearlos sin necesidad de ser cliente de ese servidor. Esto provoca que sea muy complicado identificar y rastrear a los creadores del correo spam as generado. 2. Tcnicas basadas en troyanos. Los spammers han encontrado en los tradicionales troyanos, utilizados habitualmente en otros muchos contextos, la herramienta perfecta para sus actividades. As, los utilizan para infectar y tomar el control de miles de mquinas en Internet. Esta nueva generacin de troyanos, llamados troyanos spammers, implican una gran dificultad en la lucha contra el spam. Adems del propio envo de correos electrnicos, pueden proporcionar una amplia variedad de servicios necesarios para los spammers, tales como el servicio de resolucin de nombres de dominio o DNS 12 , el alojamiento de pginas web, la retransmisin de correo, los cambios dinmicos de direcciones IP para evitar la inclusin en listas negras, etctera. De hecho, muchos de los ltimos ataques de gusanos de amplia difusin, como los de MyDoom 13 o Bagle 14 , fueron lanzados expresamente para instalar troyanos spammers, con el fin de que las mquinas que hubieran resultado infectadas pudieran ser utilizadas posteriormente como plataformas de envo (epgrafe 2.3). 3. Tcnicas basadas en servidores SMTP internos. Las propias herramientas de envo de spam incorporan un motor de envo de mensajes SMTP (es decir, un servidor de correo) para enviar automticamente el correo sin tener que conectarse a un servidor externo. Esta tcnica pretende sortear las listas negras de servidores y se combina generalmente con los troyanos spammers. 4. Tcnicas basabas en redes de ordenadores comprometidos. Es el resultado un nmero importante de ordenadores comprometidos mediante la tcnica basada en

11 12

Recomendaciones para proteger los servidores de correo frente a este ataque: http://www.mail-abuse.com

DNS, Domain Name Server: base de datos distribuida y jerrquica que relaciona los nombres de dominio con direcciones IP. Gusano que se propaga rpidamente por correo electrnico. Fue detectado el 26 de enero de 2004 y a las pocas horas haba infectado a miles de usuarios.
14 13

Gusano que se propaga por correo electrnico utilizando su propio programa de correo SMTP para enviarse a todas las direcciones encontradas en el ordenador. Pgina 30 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

troyanos para envo masivo de spam. Los programas maliciosos instalados en esos ordenadores pueden hacer uso de direcciones de correo que encuentren en ellos y conectarse a los servidores SMTP externos configurados en los correspondientes clientes de correo o hacer poner en prctica la tcnica basada en servidores SMTP interno. Por la importancia e impacto de esta tcnica de envo masivo de correo malicioso, se detalla su estudio en el epgrafe 2.3. Las tcnicas de envo masivo de mensajes de correo suelen combinarse con cierto tratamiento de los mensajes que dificulta an ms su deteccin y rastreo. Algunos mtodos de tratamiento de los mensajes son: 1. Tcnicas basadas en el falseo del remitente. Consiste en enviar un correo a nombre de un emisor falso. El objetivo es generar un flujo de mensajes innecesarios y no esperados. Con esta variante, el spammer no recibe el correo de respuesta, pero puede generar envos de correos intiles entre receptores y emisores desconocidos; se incluyen dentro de estos envos los avisos de correos no entregados, en el caso de que las direcciones de los receptores no existan o no puedan ser accedidas. 2. Tcnicas basadas en la personalizacin de los mensajes. Consiste en emplear un mensaje como plantilla general y adaptarlo con datos especficos de cada destinatario como el nombre, direccin postal, empresa en la que trabaja o cualquier otra informacin recolectada en Internet o extrada de la propia direccin de correo (por ejemplo, puede deducirse que el propietario de la cuenta jose_garcia2000@yahoo.es se llama Jos Garca). 3. Tcnicas basadas en la ofuscacin del mensaje. Consiste en ocultar de manera automtica el texto del mensaje para crear nuevas versiones del mismo, de tal manera que sea difcil de detectar y rastrear por los filtros antispam. En la actualidad se utilizan varias tcnicas de ofuscacin de mensajes: a. Ofuscacin mediante imgenes: consiste en enviar todo el mensaje spam como una figura incrustada en un texto HTML. En el mismo no aparece ningn texto, pues todo el contenido est incluido en la figura. Las figuras son muy difciles de procesar por los filtros antispam, por lo que esta variante de spam puede llegar a un importante nmero de buzones sin ser detectado. La imagen puede adems contener el hipervnculo que el spammer desea que el usuario pinche para visitar una determinada pgina.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 31 de 165

Instituto Nacional de Tecnologas de la Comunicacin

b. Ofuscacin mediante invisibilidad del texto: tcnica que intenta ocultar el mensaje dentro de un texto legtimo, de forma que pueda sortear los filtros antispam. Muchos filtros utilizan una tcnica de clasificacin basada en contar la cantidad de palabras comunes que aparece en los mensajes de correo, legtimos o no; con esta tcnica, los spammers intentan aumentar la cantidad de palabras clasificadas como comunes. Estos mensajes se construyen generalmente como pginas HTML donde el texto se ocultan en el contenido de la pgina, de forma que no ser visible para el ojo humano, pero s analizada por los filtros (por ejemplo, un texto del mismo color que el fondo o un texto en el campo de bsqueda de pginas o en la seccin de comentarios). c. Ofuscacin mediante letras espaciadas: consiste en introducir caracteres o espacios blancos entre las letras. Esto dificulta el trabajo de los filtros, mientras que el receptor puede leer el contenido del mensaje sin demasiados problemas. d. Ofuscacin mediante corte vertical: se trata de ocultar un texto en una tabla HTML. Se distribuye en celdas separadas de una misma tabla, de tal manera que cuando finalmente es visualizada por la aplicacin cliente del receptor, este puede leer el texto enviado por el spammer. e. Ofuscacin mediante cdigo script: consiste en enviar el mensaje como un cdigo JavaScript u otro lenguaje de tipo script 15 que pueda ser procesado por la aplicacin cliente (pginas dinmicas), y que como resultado devuelve el texto que desea que el destinatario reciba. Muchos filtros antispam ignoran el cdigo en lenguajes script por lo complejo que es implementar un analizador sintctico para ellos. Es decir, en vez de enviar el contenido del spam en texto en claro, el puede enviar un script que lo genere. Por ejemplo un spam con el siguiente contenido en claro: Aproveche esta oportunidad. Compre el producto a muy buen precio. Haga ahora su solicitud aqu. Puede ser generado al interpretar el siguiente cdigo en JavaScript: <script type='text/javascript'> document.write ('Aproveche esta oportunidad. Compre el producto a muy buen precio.

15

Lenguaje script: se conoce como lenguaje interpretado y es un lenguaje de programacin diseado para ser ejecutado por medio de un intrprete, en este caso un navegador u cualquier otro cliente que permita visualizar pginas web. Pgina 32 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

Haga ahora su solicitud <a href="mailto:buenproduct@producto.com"> aqu </a>'); </script> Junto a las causas fundamentales ya descritas que explican la existencia del spam (bajo coste y sencillez tcnica), conviene sealar que se hace aun ms comprensible la proliferacin de este fenmeno si se atiende al hecho de que no suelen emplearse medidas de autenticacin en los protocolos de envo de correo electrnico. La autenticacin es el servicio que permite tener la certeza de la identidad de las partes involucradas en una comunicacin; sumada a la privacidad e integridad, es uno de los aspectos imprescindibles para que podamos hablar de seguridad en el tratamiento de la informacin. Los protocolos de envo de correo no proveen de autenticacin del remitente. Esto se traduce en que cualquier individuo u organizacin puede poner en marcha un servidor de correo y enviar y recibir un nmero ilimitado de correos electrnicos. 2.4.4 Fase IV: refinamiento de listas

Los spammers dedican esfuerzo e ingenio en refinar sus listas, con el objetivo de eliminar direcciones de correo desactivadas o inexistentes y aumentar el nmero de contactos vlidos. Las tcnicas que se utilizan para este propsito son muy variadas. A continuacin se resumen las ms representativas: 1. Pruebas de lectura. Suelen utilizarse para comprobar quin, cundo y desde qu ordenador se visita una pgina web o se lee un correo electrnico. Aunque existen varias formas de implementacin, uno de los mtodos ms engaosos consiste en el envo de un correo con contenido HTML en el cuerpo del mensaje, en el que se incluye una imagen (normalmente de un pxel de tamao y de color transparente) cuya direccin URL 16 es la del correo del receptor (por ejemplo www.yyy.zzz/receptor@domain.bmp). De esta manera, si el cliente de correo realiza una visualizacin previa del contenido 17 o lee su contenido, solicitar el envo de esa imagen al servidor Web (es decir a www.yyy.zzz), que los spammers

Uniform Resource Locator, en espaol, localizador uniforme de recurso. Es una secuencia de caracteres, de acuerdo a un formato estndar, que se usa para nombrar recursos, como documentos e imgenes en Internet, por su localizacin.
17

16

Eudora y Outlook poseen un panel de previsualizacin que visualiza tanto correos en texto en plano como correos HTML. Pgina 33 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

han habilitado. Finalmente, en los ficheros logs del servidor quedarn recogidas todas las URL 18 de las imgenes solicitadas y por lo tanto, todas las direcciones de correos activas que lo han ledo.Los spammers podrn chequear quien lo ha solicitado, en los ficheros logs del servidor y, por tanto, descubrir qu direcciones de correo han visto el spam. Estas variantes pueden ser controladas por los proveedores de correo restringiendo la carga de imgenes y, en general, el cdigo HTML en los correos recibidos, lo que estn empezando a realizar los grandes proveedores de correo gratuito. As, la gran mayora de variantes de la tcnica anterior se vuelven intiles. 2. Enlaces y pginas para darse de baja en listas. En ocasiones, parte del spam recibido contiene enlaces para, supuestamente, tramitar la baja de la direccin en las listas de suscripcin. Por supuesto, en la mayora de las ocasiones dicha baja no slo no se produce, sino que conlleva un aumento del volumen de spam recibido. Al solicitar la baja, se est confirmando que la direccin es vlida y, automticamente, queda incluida en nuevas listas y es utilizada por ms spammers. Existen formas sencillas de mitigar este problema: no se debe solicitar la baja de este tipo de correos y, en general, no es aconsejable seguir ningn enlace incluido en un spam, pues, habitualmente, apuntar a pginas que contienen troyanos spammers u otro tipo de malware. El servicio de tramitacin de baja slo puede utilizarse cuando la entidad que enva el correo no solicitado ofrece las suficientes garantas. 3. Correos de confirmacin. Existe un tipo de spam que aparentemente no trata de vender ningn producto ni de engaar al receptor para que visite cierta pgina Web. de aspecto inofensivo, se limita: o bien a pedir al usuario que responda al correo, sin proporcionar ningn dato, o bien le indique que su silencio se tomar como una aceptacin a estar en la lista. Estos correos, cuyo carcter no es legtimo, tienen como objetivo comprobar que la direccin de envo es correcta, con el fin de refinar las listas generadas de forma automtica y hacerlas ms efectivas. 2.5 Tipos de spam

La clasificacin de los diferentes tipos de spam resulta complicada, pues las tcnicas empleadas por los spammers son cada vez ms ingeniosas y sofisticadas y consiguen sortear las protecciones, as como crear mensajes que logren engaar a los receptores.

Uniform Resource Locator, en espaol, localizador uniforme de recurso. Es una secuencia de caracteres, de acuerdo a un formato estndar, que se usa para nombrar recursos, como documentos e imgenes en Internet, por su localizacin. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 34 de 165

18

Instituto Nacional de Tecnologas de la Comunicacin

En los prximos epgrafes se presenta una clasificacin 19 ilustrativa (no limitativa) de los distintos tipos de correo no deseado. TIPOS DE SPAM
Por contenido del mensaje:
Adultos Financieros Fraudes de empresas Estafas (scams) Productos o servicios informticos Publicitarios Ocio Sensacionalistas Espirituales o sentimentales

Por formato del texto del mensaje:


Spam en texto plano (TXT spam) Spam en lenguaje HTML (HTML spam) Spam con archivos adjuntos habituales Spam en archivos adjuntos de audio

Evolucin y nuevos tipos de spam:


Spam por mensajera instantnea (Spim) Spam por ventanas emergentes o pop-ups Spam en grupos de noticias Spam en foros Spam en blogs Spam en otros servicios: o Spam por telefona mvil o Spam por Voz sobre IP

Fuente: INTECO 2.5.1 Clasificacin por contenido del mensaje

Segn el tipo de contenido del mensaje, el spam puede clasificarse en correo para adultos, financieros, fraudes de empresas, estafas, productos informticos, publicitarios, de ocio, sensacionalistas o espirituales, etctera. A continuacin, se revisan algunas caractersticas de los distintos tipos. 1. Adultos: correo electrnico con contenido relacionado con la sexualidad. Son los correos ms repudiados y por lo tanto, suelen ser eliminados y no reenviados por los usuarios. En la mayora de los casos, los usuarios deciden filtrar automticamente la recepcin de estos correos, circunstancia que resulta fcil por su inequvoco contenido; la bsqueda de las palabras clave generalizadas en torno a esta temtica facilita la labor. Aun as, el trfico de este spam sigue siendo muy elevado. 2. Financieros: incluyen ofertas de dinero, regalos y deslumbrantes oportunidades en ciertos negocios. Los ms tpicos son los que anuncian regalos de dinero sin

La clasificacin que se presenta est basada en la realizada por Symantec Corporation (http://www.symantec.com/). La mayora de los ejemplos que presentamos estn en ingls, pues es el lenguaje que generalmente utiliza el spam. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 35 de 165

19

Instituto Nacional de Tecnologas de la Comunicacin

accin previa (loteras, premios, casinos), prstamos sin comisiones, inversiones, etctera. 3. Fraudes de empresas: se presentan con el nombre de una empresa legtima con el objetivo de obtener informacin confidencial del destinatario y de atribuirle un perfil como cliente; por esta razn, se clasifican a menudo como correos de phishing 20 o de brand spoofing 21 . Las formas ms habituales suelen basarse en falsas alertas bancarias sobre las cuentas de los clientes o relacionadas con sus datos de registro y los sistemas de seguridad de banca electrnica, lo que les induce a visitar una web falsa del banco e introducir sus datos. 4. Estafas (scams): aunque pueden estar incluidos dentro de los financieros (y dentro de los ataques de phishing por correo), merecen una distincin por su importancia y variedad. Se caracterizan por proponer tratos lucrativos para el remitente, con el objeto de estafar al destinatario cantidades econmicas y/o informacin confidencial. Para ello, suelen ofrecer trabajos bien remunerados (generalmente de forma online), soluciones hipotecarias ventajosas o incluso versiones en lnea del conocido fraude financiero piramidal (consistente en el establecimiento de una cadena de participantes, que forman la base de la pirmide, a los cuales se les asegura unas ganancias progresivas previo pago de una determinada cantidad). Junto a este tipo de estafas, conviene sealar el timo conocido por banco nigeriano o timo 419 (por el nmero de artculo del cdigo penal de Nigeria que viola), en el que el estafador obtiene dinero de la vctima en concepto de adelanto a cuenta de una supuesta fortuna que le han prometido. 5. Productos o servicios informticos: los ms comunes son los correos cuyo contenido hace referencia a versiones nuevas de software o hardware de uso comn y extendido, as como a direcciones de descargas libres o con precios reducidos de productos muy costosos. 6. Publicitarios: correos relacionados con la oferta comercial de productos y servicios. Son bastante controvertidos, pues pueden confundirse con correos lcitos. Fueron los primeros correos de tipo spam en surgir y siguen siendo los ms abundantes, casi siempre con fines lucrativos. Estos correos maliciosos son fciles de determinar, porque ofrecen enormes ventajas y precios muy bajos para los potenciales clientes. Las ms tpicas son las ofertas relacionadas con la salud

INTECO: Estudio sobre usuarios y profesionales de entidades pblicas y privadas afectados por la prctica fraudulenta conocida como phishing, 2007. Disponible en http://observatorio.inteco.es. Phishing: tcnica de ingeniera social por la cual un atacante intenta adquirir informacin confidencial de una vctima de forma fraudulenta, hacindose pasar por un tercero de confianza.
21

20

Spoofing brand: tcnica de suplantacin de identidad, en este caso suplantacin de marca. Pgina 36 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

(medicamentos sin prescripcin) o con la esttica (productos dietticos, consultas a muy bajo precio, tratamientos, etctera). Por su parte, los correos legtimos pertenecen generalmente a campaas publicitarias de empresas, pero se considerarn spam en funcin de la legislacin de cada pas. Este aspecto ser discutido detalladamente ms adelante en el presente informe. 7. Ocio: incluyen publicidad relacionada con opciones de ocio, tales como paquetes tursticos, juegos electrnicos o casinos online. 8. Sensacionalistas: su contenido generalmente incita a muchos usuarios (sobre todo los que se inician en el uso del correo electrnico) a que crean en su mensaje y los reenven. Son conocidos tambin como correos msticos (en ingls, hoax). Alguno de los temas ms comunes que abordan estn relacionados con las ayudas humanitarias, la poltica o las falsas alertas de virus destructivos. 9. Espirituales o sentimentales: constituyen el correo spam ms aceptado y difundido por los propios usuarios e inducen a los propios receptores a convertirse en spammers reenvindolos a su directorio de contactos. Se suelen caracterizar por tratar motivos religiosos, poemas, citas famosas, animaciones o imgenes. 2.5.2 Clasificacin por formato del texto del mensaje

El correo de tipo spam puede ser clasificado tambin segn el formato con el que se ha editado el mensaje. A continuacin se presentan los ms comunes. 1. Spam en texto plano (TXT spam): el texto plano o .txt es un formato comn en el cuerpo del mensaje de los correos electrnicos. Es una de las tcnicas ms utilizadas por lo sencillo de su creacin, pero tambin constituye el ms sencillo de detectar por filtrado de contenido. Utiliza principalmente tcnicas de ingeniera social para persuadir a los receptores y desplegar su ataque o ser nuevamente enviado. 2. Spam en lenguaje HTML (HTML spam): el contenido del mensaje es un fichero HTML 22 que la mayora de los clientes de correo permiten visualizar directamente. Este tipo de mensaje, por las propiedades de los ficheros HTML, permite incluir cdigo y tcnicas automatizadas para realizar sus acciones y ser reenviados. Actualmente, se estn desarrollando variantes ms novedosas, con objeto de evitar las medidas de proteccin.

HyperText Markup Language, en espaol Lenguaje de Marcas Hipertextuales. Es un lenguaje diseado para estructurar textos y presentarlos en forma de hipertexto en las pginas web. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 37 de 165

22

Instituto Nacional de Tecnologas de la Comunicacin

3. Spam con archivos adjuntos habituales: el contenido de tipo spam no es enviado en el cuerpo del mensaje, sino en un fichero adjunto. Las variantes ms antiguas se realizaban mediante adjuntos con extensiones .ppt o .zip, pero en la actualidad se est extendiendo el uso del spam a imgenes y archivos .pdf. 4. Spam en archivos adjuntos de audio: constituye la tendencia ms reciente en las tcnicas empleadas por los spammers. Consiste en enviar mensajes codificados en archivos adjuntos de audio MP3. Estos mensajes estn compuestos de un fichero MP3 de pocos segundos, grabado a un bajo nivel de bits y con una voz sintetizada que promociona un determinado producto. Dicha voz llega a los usuarios de forma muy distorsionada para evitar as su deteccin por medio de sistemas antispam por bsqueda de patrones de voz, que localizan dentro del fichero adjunto pautas con las mismas caractersticas que en los spam de texto. 2.6 Evolucin y nuevos tipos de spam

En la actualidad las tcnicas que sustentan el spam estn en constante adaptacin y evolucin. Bajo la consigna de "masivo y no deseado" rebasa la frontera del correo electrnico y se extiende a otras aplicaciones y servicios de Internet, apareciendo as nuevas modalidades. 2.6.1 Spam por Internet

1. Spam por mensajera instantnea (Spim): modalidad que utiliza sistemas de mensajera instantnea como ICQ, Messenger o Skype, entre otros. Generalmente, aprovecha vulnerabilidades de seguridad y sus posibilidades de envos instantneos, adems de la informacin personal contenida en los directorios de usuarios. En este caso, los spammers desarrollan programas que envan mensajes instantneos, mediante el protocolo de comunicacin del sistema en cuestin, a una lista de usuarios detectados. A menudo, este proceso es automatizado y forma parte del funcionamiento de algn software malicioso que ha comprometido una mquina. 2. Spam por ventanas emergentes o pop-ups: se trata de enviar un mensaje bajo el control del spammer que emerge con formato de ventana durante la navegacin por Internet, normalmente con alguna advertencia falsa dirigida hacia el usuario y que suele conducir a un mensaje de carcter publicitario. Es muy comn que se inserte en motores de bsqueda y en sitios visitados por un gran nmero de usuarios. Aunque los primeros casos se dieron en Internet Explorer de Windows, han aparecido ya en otros navegadores. Se han detectado otras formas de spam

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 38 de 165

Instituto Nacional de Tecnologas de la Comunicacin

que hacen uso de este tipo de ventanas de forma similar en aplicaciones con el protocolo SMB 23 . 3. Spam en grupos de noticias: modalidad que utiliza programas robot (en ingls, bots) que se conectan a salas de noticias y las bombardean con mensajes publicitarios, reiteracin de preguntas u otra informacin no solicitada y en muchos casos incmoda para los usuarios registrados en estos servicios. 4. Spam en foros: aprovecha la propiedad de envo masivo de los foros de discusiones. Generalmente, se caracteriza por la inclusin de repetidos mensajes que no contribuyen en nada al tema del foro e, incluso, de contenido ofensivo o molesto para el resto de participantes. 5. Spam en blogs: modalidad que se caracteriza por incluir comentarios en una entrada de un blog, con objetivos distintos a los previstos en dicha bitcora y que en realidad contienen enlaces a sitios comerciales, promocionan directamente algn producto o simplemente sirven de enlace a sitios maliciosos. Ms all de la comunicacin en Internet con ordenadores, el spam ha llegado tambin a otros servicios, como la telefona mvil o los sistemas de Voz sobre IP (VoIP): 2.6.2 Spam por telefona mvil

Se produce a travs del servicio de mensajes de texto cortos (SMS) o de mensajes multimedia (MMS). Esto puede resultar especialmente desconcertante para los usuarios, no slo por la molestia que supone recibir y leer mensajes que no son relevantes para ellos, sino tambin porque muchas veces son enviados desde otros pases o destinos, y por lo tanto, los usuarios deben pagar al recibirlos. Aun as, hasta el momento este tipo de spam no ha evolucionado en la misma medida que el resto, a pesar de los millones de abonados de telefona mvil, por los propios costes de envos y por la ausencia de pasarelas gratuitas. 2.6.3 Spam por Voz sobre IP

Se espera que las comunicaciones VoIP sean vulnerables al spam por mensajes pregrabados. Se han reportado muy pocos casos por lo reciente de este tipo de telefona, pero ya se han desarrollado algunas herramientas de proteccin contra ello. Tambin se presenta el fenmeno del spam en la vida cotidiana, aunque no se menciona como tal, a travs de sistemas como el fax y el telfono tradicional, en sistemas

Server Message Block (SMB), protocolo de nivel de aplicacin que permite a los servidores enviar alertas, mediante ventanas emergentes (pop-up) a las estaciones de trabajo de Windows. Cuando estas se conectan a Internet con el servicio iniciado, y sin la proteccin de un firewall, este puede ser utilizado para enviar spam. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 39 de 165

23

Instituto Nacional de Tecnologas de la Comunicacin

automticos de envo y recepcin de llamadas, puerta a puerta, a travs de folletos y otras promociones que llegan a los hogares o empresas... 2.7 Formas permitidas de correo masivo

En la actualidad existe una importante discusin sobre qu se considera spam, en el marco del envo masivo de correos de listas de distribucin y publicitarios. En ambos casos los mensajes se envan a un elevado nmero de destinatarios. Muchas de estas listas de distribucin o de publicidad ofrecen dos sistemas de control sobre la recepcin de estos correos: la aceptacin previa a primera comunicacin (opt-in) o la opcin de cancelacin en cada comunicacin (opt-out). 2.7.1 Sistema opt-in

Consiste en la inscripcin voluntaria de un usuario a una lista de correo, expresando explcitamente su inters por recibir los correos que genere la empresa, grupo u asociacin propietaria de la lista. . En Europa entr en vigor en 2002 una directiva contra el correo electrnico no solicitado (2002/58/CE, del Parlamento Europeo, de 31 de julio). En Espaa, el spam comercial est prohibido por la Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico (Ley 34/2002, de Servicios de la Sociedad de la Informacin y Comercio Electrnico, de 11 de julio, denominada Ley de Comercio Electrnico o LSSICE). Hasta la entrada en vigor dicha normativa, los servicios online incluan la opcin opt-in marcada por defecto; a partir de entonces, es el usuario quien debe seleccionarla explcitamente. Para asegurar el carcter explcito del consentimiento, algunos sistemas exigen una nueva confirmacin de esta inscripcin o doble opt-in, pidindole al usuario que responda a un correo de confirmacin previamente a cualquier envo relativo a la lista. El objetivo es evitar que los usuarios sean inscritos a una lista por terceros sin su consentimiento. 2.7.2 Sistema opt-out

Consiste en la inclusin de una opcin de cancelacin y denegacin de subsiguientes envos en cada correo recibido perteneciente a una determinada lista, sea solicitado o no. Como regla general, se exige la existencia de esta opcin en todas las listas de correos. Dentro de las listas de correos, destacan aquellas utilizadas por empresas de marketing para enviar publicidad y ofrecer productos o servicios. Es evidente el incremento del uso del correo en la sociedad actual y, por lo tanto, constituye una va que genera ventajas competitivas por lo reducido de su coste. El denominado marketing electrnico (e-mail marketing) debe ser extremadamente cuidadoso para no quedar catalogado como spam. Por ello, se exige que todos estos correos, encuadrados en una actividad de marketing lcita, incluyan una opcin opt-out que permita al usuario cancelar su participacin como destinatario en cualquier momento. En la mayora de los casos, tambin se exige la
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 40 de 165

Instituto Nacional de Tecnologas de la Comunicacin

existencia de una opcin opt-in para que el usuario se inscriba previa y explcitamente a la lista de distribucin. Hasta el momento es una exigencia ms dbil, pues aun en muchos casos y dependiendo de la legislacin de cada pas un correo publicitario no se considera spam si incluye una opcin de aceptacin para continuar el envo o una opcin de cancelacin, aun cuando no haya sido autorizado.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 41 de 165

Instituto Nacional de Tecnologas de la Comunicacin

3 MARCO JURDICO DEL CORREO ELECTRNICO NO DESEADO


En este apartado se hace una referencia sinttica a todo el marco jurdico del spam; para una informacin ms detallada, se recomienda la consulta del documento anexo a este estudio, Marco jurdico del correo electrnico no deseado (spam): normativa aplicable, infracciones, sanciones y casos prcticos, donde se realiza un anlisis pormenorizado de todas las referencias legales sobre el tema y se incluyen casos reales con repercusin jurdica. El dato ms destacado es que en Espaa las medidas y el seguimiento de carcter normativo con referencia al spam se encuentran muy avanzados. Desde una perspectiva jurdica, no existe ni en la doctrina ni en el Derecho comparado unanimidad a la hora de determinar el concepto de spam. Sin embargo, a menudo se recurre a las siguientes aproximaciones: "correos electrnicos comerciales no solicitados" y "correos electrnicos masivos no solicitados procedentes de un mismo emisor". Es evidente que incluso intentando concretar la definicin de spam, lo que resulta comn en ambos casos es que se trata de correos electrnicos no solicitados, pero dicha condicin, aun siendo necesaria, no es un requisito suficiente para que sea considerado como spam, puesto que lo que cualifica al correo no solicitado como spam desde el punto de vista jurdico es su carcter comercial o la cantidad enviada. Por tanto, en ordenamiento jurdico espaol los correos electrnicos no deseados de contenido no comercial no han tenido un tratamiento legal, ya que la legislacin se ha centrado nica y exclusivamente en la regulacin de los que se podran denominar spam comercial, correos electrnicos comerciales no deseados o comunicaciones comerciales no solicitadas. Precisamente sobre este ltimo trmino gira la regulacin espaola. Es necesario recordar que el ejercicio abusivo de tcnicas de marketing y el empleo de mtodos de venta agresivos a travs del correo electrnico han supuesto la reaccin del legislador, promulgando una normativa especfica para proteger a los consumidores y usuarios. Junto con la regulacin de su contenido, dirigida a hacer de ellas unas actividades transparentes, se procura que las comunicaciones comerciales enviadas a travs de Internet sean totalmente identificables como tales y que se haga un uso lcito de los datos personales utilizados para realizar las promociones a travs del correo electrnico. Las comunicaciones comerciales enviadas a travs de la Red ofrecen innumerables ventajas, pero tambin ciertas incertidumbres jurdicas que precisan del establecimiento de un marco adecuado, ya que diariamente estas prcticas de difusin comercial masiva son poco respetuosas con el derecho a la intimidad y a la privacidad de las personas; en

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 42 de 165

Instituto Nacional de Tecnologas de la Comunicacin

particular, las intromisiones no deseadas y la difusin de datos personales con finalidad comercial son fuente de gran parte de las ofertas y publicidad no deseada. Por todo ello, se llega a la conclusin de que no se puede confundir el trmino genrico de spam con la prospeccin comercial no solicitada de las empresas. No toda prospeccin comercial no solicitada es spam, ya que bajo ciertas premisas legales est permitido enviar ciertas comunicaciones comerciales no solicitadas. 3.1.1 Definicin de las comunicaciones comerciales va electrnica

En el ordenamiento jurdico espaol, la Ley 34/2002 de Servicios de la Sociedad de la Informacin y Comercio Electrnico, denominada como Ley de Comercio Electrnico o LSSICE, que traspone la Directiva 2000/31/CE 24 , define las comunicaciones comerciales como toda forma de comunicacin dirigida a la promocin directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organizacin o persona que realice una actividad comercial, industrial, artesanal o profesional, excluyendo de tal definicin: Los datos que permiten acceder directamente a la actividad de una persona, empresa u organizacin, tales como el nombre de dominio o la direccin de correo electrnico. Las comunicaciones referentes a actividades desarrolladas por terceros sin encargo del titular y sin remuneracin. Los enlaces hacia pginas Web de contenido publicitario. Y las comunicaciones de carcter informativo, ausentes de toda finalidad comercial o empresarial como la propaganda institucional, poltica y religiosa. En cuanto a la normativa aplicable, las comunicaciones comerciales va electrnica no slo se rigen por la LSSICE, sino que tambin se ha de aplicar otras normas vigentes en materia comercial y de publicidad, as como la normativa de proteccin de datos (LOPD, Ley Orgnica de Proteccin de Datos). Conviene sealar que la LSSICE, por su parte, ampara tanto a las personas fsicas como a las jurdicas destinatarias del servicio frente al envo de comunicaciones comerciales no solicitadas. Respecto a la utilizacin de sistemas de correo electrnico con fines de venta directa, la Directiva 2002/58/CE 25 establece que slo est permitido en el caso de que el usuario haya

24

Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, ms conocida como Directiva sobre Comercio Electrnico, relativa a determinados aspectos jurdicos de los servicios de la Sociedad de la Informacin, en particular del comercio electrnico en el mercado.

Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 43 de 165

25

Instituto Nacional de Tecnologas de la Comunicacin

dado su consentimiento previo (sistema opt-in). Por tanto, queda prohibido el envo por correo electrnico de comunicaciones publicitarias o promocionales que previamente no hubieran sido solicitadas o expresamente autorizadas por sus destinatarios. La eleccin de dicha modalidad por el legislador comunitario, e intrnsecamente por el legislador espaol (LSSICE), es importante, ya que supone distanciarse del sistema americano, basado en el sistema opt-out (cancelacin previa). 3.1.2 Requisitos de licitud de las comunicaciones comerciales

La normativa espaola, segn se articula en la LSSICE, obliga a las empresas a que las comunicaciones electrnicas hayan sido previamente solicitadas por los destinatarios mediante el consentimiento expreso. Es precisamente en la obtencin de dicho consentimiento donde se encuentran los principales problemas para el envo de comunicaciones comerciales debido a que en la prctica las empresas no suelen solicitarlo, sino que ofrecen simplemente la posibilidad de darse de baja del servicio enviando un mensaje de correo electrnico o accediendo a determinados enlaces. Esto supone un consentimiento tcito y no una autorizacin expresa para recibir comunicaciones comerciales no solicitadas. En este punto debe researse la circunstancia en la que se encuentre incluido el consentimiento en un proceso contractual. En la mayora de las ocasiones, los destinatarios de las comunicaciones comerciales son los clientes de las empresas remitentes, y en este supuesto se excluye el requisito del consentimiento expreso, tal y como lo establece en la LSSICE, por existir una relacin contractual previa. Por tanto, por el mero hecho de haber comprado en un determinado comercio cierto tiempo atrs, una persona puede recibir sin ser previamente avisado de ello correos electrnicos no solicitados sobre otros productos de la firma. Pueden obtenerse ms detalles sobre este supuesto, as como otros requisitos de licitud, en el anexo Marco jurdico del correo electrnico no deseado (spam): normativa aplicable, infracciones, sanciones y casos prcticos. En cualquier caso, cuando las empresas enven comunicaciones comerciales no solicitadas debern cumplir con el requisito que les obliga a ofrecer la posibilidad al destinatario de revocar la autorizacin (revocacin del consentimiento) en cualquier momento, mediante la habilitacin un procedimiento de notificacin sencillo y gratuito. Por otro lado, en tanto que el envo de comunicaciones no deseadas puede implicar el empleo de datos relativos a los destinatarios, el rgimen jurdico espaol exige obtener, previamente, el consentimiento del titular de los datos personales. As, la LOPD establece tres formas de consentimiento para el tratamiento de datos personales, segn a qu tipo de estos se haga referencia:

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 44 de 165

Instituto Nacional de Tecnologas de la Comunicacin

1. Para la obtencin y tratamiento de datos de carcter personal es necesario tener el consentimiento inequvoco del titular de los datos. 2. Para los datos de carcter personal relacionados con las creencias, ideologa o religin, es necesario de que el titular de los mismos otorgue su consentimiento expreso y por escrito para que puedan ser tratados. 3. Para los datos que hagan referencia al origen racial, a la salud y a la vida sexual es necesario que se otorgue el consentimiento expreso. En principio, la direccin de correo electrnico es un dato de carcter personal que no hace referencia a las creencias, a la ideologa, a la religin, al origen racial, a la salud ni a la vida sexual del titular; en consecuencia, es necesario slo el consentimiento inequvoco. La LOPD contempla tambin el derecho de oposicin respecto del tratamiento de los datos personales con fines de prospeccin comercial y publicidad, de forma que los interesados disponen del derecho a oponerse, previa peticin y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso sern dados de baja del tratamiento, cancelndose las informaciones que sobre ellos figuren. 3.1.3 Responsabilidades

El uso inadecuado de las comunicaciones a travs del correo electrnico puede causar daos y perjuicios a terceros que se han de reparar. La cuestin estriba en determinar la responsabilidad de los prestadores de servicios de la Sociedad de la Informacin, ya que para poder alojar, almacenar o transmitir los contenidos lcitos e ilcitos en la Red es necesaria la intervencin tcnica de los mismos. En el mbito comunitario se adopt el citado sistema de responsabilidad de los prestadores de servicio en la DCE, donde se reconocen una serie de supuestos especficos de exencin de responsabilidad. Las exenciones de responsabilidad, establecidas tanto en la DCE como en la LSSICE, slo se aplican a aquellos casos en los que la actividad del prestador de servicios de la Sociedad de la Informacin se limita al proceso tcnico de explotar y facilitar el acceso a una red de comunicacin, mediante la cual la informacin facilitada por terceros es transmitida o almacenada temporalmente con el fin de hacer que la transmisin sea ms eficiente. En el supuesto de que sea el propio prestador de servicios el que coloca en la Red o transmite contenidos propios, las exenciones de responsabilidad no podran aplicarse, y se acudira a las reglas generales de responsabilidad civil, penal y administrativa establecidas en el ordenamiento jurdico espaol. Las exenciones que se establecen se pueden agrupar en las siguientes categoras, segn el tipo de servicio:
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 45 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Los servicios de mera transmisin de datos y de provisin de acceso a Internet. La prestacin del servicio de hosting o almacenamiento de datos ajenos. El caching o servicio de realizacin y almacenamiento de copias.

Para cada uno de estos casos, la ley prev un conjunto de requisitos que han de cumplir los prestadores de servicios con el fin de eximir su responsabilidad. Pueden encontrarse ms detalles sobre este aspecto en el anexo Marco jurdico del correo electrnico no deseado (spam): normativa aplicable, infracciones, sanciones y casos prcticos. 3.1.4 Infracciones y sanciones

La LSSICE en su artculo 37, establece que los prestadores de servicios de la Sociedad de la Informacin estn sujetos al rgimen sancionador de la misma. Las infracciones, recogidas en el artculo 38, se califican como graves y leves en el contexto de las comunicaciones a travs del correo electrnico. Son infracciones graves: El incumplimiento significativo de la obligacin del prestador de servicios en relacin con los procedimientos para revocar el consentimiento prestado por los destinatarios. El incumplimiento significativo de las obligaciones de informacin o de establecimiento de un procedimiento de rechazo del tratamiento de datos. El envo de ms de tres comunicaciones comerciales por correo electrnico en el plazo de un ao. Respecto a este supuesto es muy importante la cantidad de comunicaciones comerciales enviadas, puesto que si slo se puede demostrar el envo de tres comunicaciones comerciales, es calificada como infraccin leve y la multa difiere notoriamente de las infracciones graves. El envo masivo de comunicaciones comerciales. En este caso, a pesar de que no se recoge su significado, puede entenderse de una forma deductiva que el concepto de envo masivo de mensajes no recoge el supuesto de que se enven muchos mensajes distintos a un solo destinatario, sino slo los casos en que se enva un solo mensaje a muchos destinatarios. Las infracciones graves prescriben a los dos aos y las leves a los seis meses y, segn marca la LSSICE, llevan aparejadas las siguientes sanciones: 1) Por la comisin de infracciones graves, multa de 30.001 hasta 150.000 euros. 2) Por la comisin de infracciones leves, multa de hasta 30.000 euros.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 46 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Por su parte, para los responsables de los ficheros y los encargados del tratamiento de los datos personales es objeto de aplicacin el rgimen sancionador de la LOPD, en el que estn previstas las infracciones leves, graves y muy graves. Estas prescriben en el transcurso de uno, dos y tres aos respectivamente. En cuanto a las sanciones, oscilan entre los 600 y los 600.000 euros dependiendo de la gravedad de cada infraccin. Dado que el envo de correos electrnicos comerciales no deseados es susceptible de cometer una infraccin, tanto contemplada en la LOPD como en la LSSICE, puede dar lugar a una problemtica de doble imposicin de sanciones. Dicho tema debe ser estudiado, en tanto que la tradicin jurdica en el Derecho espaol prohbe la citada figura.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 47 de 165

Instituto Nacional de Tecnologas de la Comunicacin

4 IMPACTO ECONMICO Y SOCIAL DEL CORREO SPAM


Con objeto de completar el estudio del spam como fenmeno pernicioso para las relaciones empresariales o personales a travs de la Red, es necesario analizar el impacto econmico y social que puede llegar a producir. Esto es lo que convierte al spam en un importante desafo para la seguridad en la Sociedad de la Informacin. En referencia al impacto econmico, conviene destacar la ausencia de informacin fidedigna o de estudios detallados que permitan arrojar cifras fiables. El clculo preciso de las prdidas generadas por el correo basura, se presenta muy dificultoso. Existen muchas variables implicadas en el proceso del spam que generan un marco de complejo anlisis. Entre ellas se pueden encontrar los rpidos avances que se producen en la seguridad de la informacin, como las mejoras en los filtros antispam de los servidores de correo que no permiten un seguimiento homogneo, o el hecho de que no todas las empresas tienen dichos filtros instalados en sus servidores. Que se complica tambin por las diferentes cifras que se manejan sobre volumen de spam en circulacin o sobre la cantidad de spam que llega al buzn final de usuario. A todo esto se aade que el coste laboral para la empresa, de cada uno de sus trabajadores, no es el mismo segn el puesto que ocupen, lo que provoca realizar nuevas estimaciones sobre dicho dato. Y finalmente definir el impacto del nmero de trabajadores afectados que, ya no slo utilizan el ordenador en su puesto de trabajo, sino que hacen uso frecuente del correo electrnico como herramienta de trabajo. Todo ello determina que en los clculos sobre impacto econmico se hable siempre de estimaciones basadas en predicciones estadsticas. Como en la mayora de las evaluaciones de impacto de otros fenmenos, como por ejemplo el malware 26 , los anlisis sobre las consecuencias del spam en organizaciones y usuarios se realizan sobre los efectos derivados de l. En muchas ocasiones, es ms comn que estos efectos sean tratados en trminos puramente cualitativos y no necesariamente econmicos, como prdidas en tiempo, desconfianza en el servicio, consumos de ancho de banda y de capacidad de almacenamiento, necesidad de un tiempo de recuperacin y reestablecimiento del servicio, etctera. No obstante, en el

Software malicioso (del ingls malicious software): es un software que tiene como objetivo infiltrarse en un ordenador o daarlo, sin el conocimiento de sus usuarios. Aunque su finalidad puede ser diversa, siempre hacen dao. En esta categora encontramoslos troyanos, gusanos, spyware, virus, puertas traseras, etctera. Un anlisis pormenorizado de los efectos e incidencias del malware en los hogares espaoles se puede encontrar en el Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (2 Oleada: Feb-Abr 07), INTECO, 2008. Disponible en http://observatorio.inteco.es. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 48 de 165

26

Instituto Nacional de Tecnologas de la Comunicacin

prximo epgrafe se trata de aportar algunas cifras que pueden ser indicativas del impacto econmico y que permitirn extraer ciertas conclusiones. Respecto al impacto social, la informacin puntual recabada se completa con los datos obtenidos durante la fase de investigacin del presente informe y procedentes de las entrevistas con usuarios finales. 4.1 Impacto econmico

Mientras en el apartado anterior se comentaba la dificultad de clculo del impacto, basado en datos reales contrastados, en este punto se procede al estudio del impacto econmico, en base a una recopilacin de datos extrados de distintas fuentes secundarias y de una estimacin propia de INTECO. El estudio del impacto econmico del spam se puede enfocar agrupando a los agentes implicados en dos elementos: empresas proveedoras de servicios de Internet y entre ellos, fundamentalmente, las proveedoras del servicio de correo electrnico, y sus organizaciones/usuarios clientes. En este ltimo grupo se incluye aquellas que autogestionan completamente su correo electrnico. Hay que indicar que, aunque no es posible presentar datos de impacto econmicos para cada uno de los distintos agentes estudiados, s ha sido posible realizar una estimacin econmica de impacto para el conjunto de empresas. Para las empresas proveedoras de servicios de Internet se estudian fundamentalmente las siguientes clases de impacto econmico: Coste relacionado con la fiabilidad del servicio: resultado del anlisis del coste y esfuerzo que estas empresas, especialmente como proveedoras de servicio de correo, deben invertir en infraestructuras primarias y de respaldo, en medidas de proteccin (especialmente preventivas, sin olvidar las reactivas y pro-activas), en I+D, etctera, para brindar un servicio confiable, garantizando la seguridad y disponibilidad de un servicio ajustado a cada tipo de cliente, frente a la amenaza del spam. Prdidas relacionadas con la satisfaccin de las organizaciones/usuarios clientes: resultado del anlisis por el que se estiman los costes que genera la insatisfaccin de los clientes con respecto al servicio y que pueden causar su baja. En este sentido, el grado de insatisfaccin del cliente a consecuencia del spam se puede modelar en funcin de la importancia que cada tipo de entidad (por ejemplo, empresa cliente, profesional o usuario privado) conceda al servicio del correo electrnico y, dentro de cada tipo, segn: o El nmero de quejas recibidas.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 49 de 165

Instituto Nacional de Tecnologas de la Comunicacin

o o o

El nmero de bajas en el servicio. El nmero de consultas al soporte tcnico. La rapidez en la resolucin de problemas.

De forma ms general, para cualquier empresa u organizacin deben analizarse: 1. Prdidas relacionadas con la productividad: a. El tiempo perdido por los empleados en la revisin y eliminacin de sus correos frente a la presencia del spam en sus buzones menos el tiempo de uso del mismo en condiciones normales de trabajo, es decir, el tiempo realmente productivo. b. Prdidas relacionadas con la recuperacin frente al spam: las relacionadas con la recuperacin de los falsos positivos, a partir del anlisis que considera el coste de los recursos tcnicos y humanos asumidos por las organizaciones para brindar opciones de recuperacin de los correos perdidos o considerados spam, en ocasiones vitales para la actividad de la organizacin. 2. Gestin de infraestructuras. Extradas del anlisis donde se estima, para las empresas clientes del servicio o aquellas que autogestionan su correo. Coste relacionado con la fiabilidad del servicio de autogestin del correo electrnico: derivado de las inversiones en recursos tcnicos y humanos realizadas por aquellas empresas u organizaciones que autogestionan su correo electrnico y deben realizar tareas de mantenimiento y mejoras frente al spam. La mayora de los estudios concluyen de forma genrica que el grueso del impacto econmico del spam est relacionado con: Las prdidas de tiempo de proceso y humano. La inversin en nuevas infraestructuras tecnolgicas que suponen un mayor ancho de banda y el incremento de las capacidades de almacenamiento y de realizacin de copias de seguridad para dar soporte a esta avalancha de correos. La inversin en tcnicos cualificados. La inversin en herramientas antispam y sus actualizaciones.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 50 de 165

Instituto Nacional de Tecnologas de la Comunicacin

En menor medida, las prdidas econmicas como consecuencia de la prdida de informacin relevante para la actividad; en ocasiones, se trata de una prdida de informacin temporal.

Empresas y organizaciones En una primera aproximacin respecto a los efectos econmicos del spam, no se puede obviar que puede consistir en s mismo en un negocio. Por lo tanto, puede llegar a tener una repercusin econmica positiva para aquellas empresas que utilizan el correo masivo como medio de publicidad de sus servicios, sin olvidar a los spammers 27 , que hacen de esta tcnica su propio negocio. La facilidad para enviar spam frente a los potenciales beneficios anima a algunos a convertirse en spammers. La motivacin de un beneficio portencialmente alto y rpido les anima a crear sus propias botnets. Prdidas por productividad del empleado El spam no es slo un problema de las empresas proveedoras de servicio de correo electrnico, sino que su repercusin llega a todas aquellas organizaciones que hacen uso del servicio. El anlisis se fundamenta principalmente en las prdidas econmicas reales que genera el spam en trminos de productividad del empleado. Aunque tambin en este apartado resulta difcil su estimacin. En este sentido, aspectos como el nmero de trabajadores con ordenador, cunto tiempo lo utilizan, la estimacin del tiempo utilizado para borrar correos no deseados o cunto spam logra traspasar todos los filtros y llegar al usuario final, impiden realizar estimaciones robustas sobre las cantidades econmicas implicadas en el marco del spam. Sin embargo se pueden establecer algunas estimaciones al respecto, calculando el tiempo que este invierte diariamente en discriminar, de entre todos los correos recibidos, aquellos legtimos. Las prdidas de productividad por empleado, para aquellos que utilizan habitualmente el correo electrnico pueden calcularse de la siguiente manera 28 : Prdidas de productividad por cada empleado que usa el correo electrnico =
nCORREO

dT * (
Donde:

t
i =1

Ei d , spam

*cEi ,h )

E i Representa a un empleado.

Por ejemplo, en una entrevista publicada en Internet (https://rejo.zenger.nl/abuse/1085493870.php), un spammer holands detalla el gasto que le supuso enviar correos masivos durante 25 das y lo que obtuvo finalmente; su ganancia neta en ese tiempo fue de entre 2.000 y 3.000 euros.
28

27

Dabendofer, Thomas P.: Impact Analysis of spam,Swiss Federal Institute of Technology, Zurich, 2005. Pgina 51 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

d T Das de trabajo, por ao, de un empleado E i n CORREO Nmeros de empleados que usan el correo. t Ei,d,spam Tiempo promedio, en horas y por das, que el empleado E i invierte en gestionar el spam de su buzn. c Ei,h Promedio del coste horario del empleado E i Para tener una idea de estos valores, en estudios realizados por el Swiss Federal Institute of Technology de Zurich (ETH Zurich 29 ), en el ao 2005 se estim una prdida de productividad de las empresas suizas a consecuencia del spam de aproximadamente 2.220 millones de euros, a partir de los datos que se reflejan en la Tabla 2:
Tabla 2: Impacto econmico del spam en Suiza (2005) Factores Total de empleados (n CORREO ) Das de trabajo, por ao, de un empleado (d T ) Horas de trabajo, por ao, de un empleado Coste medio anual por empleado Coste medio diario por empleado Coste medio por horas de un empleado (c Ei,h ) En concepto de spam el empleado gastaba diariamente (t Ei,d,spam ) Prdida econmica diaria asociada al spam por empleado Prdida econmica anual asociada al spam por empleado Prdidas de productividad anual por el spam Valor 3.590.000 230 das 1.880 h/ao 63.278 EUR 274,97 EUR 33,66 EUR 0,08 h (5 minutos/da) 2,7 /da 621 /ao 2.220 millones /ao
Fuente: ETH Zurich

Se pueden enumerar otras estimaciones realizadas en empresas estadounidenses 30 aun ms preocupantes, dado el alto nivel de spam que soporta EE.UU.: ya en el ao 2003 sealaban que el spam estaba provocando prdidas anuales de 10.000 millones de dlares. Ese mismo ao se publicaron estimaciones de prdidas en el mundo cercanas a los 20.500 millones de dlares 31 . Estos datos han ido con certeza en aumento en los ltimos aos, debido al incremento significativo de este fenmeno.

29 30 31

http://www.ethz.ch/ Ferris Research: http://www.ferris.com/

Radicati Group: http://www.radicati.com. Datos extrados de artculo publicado en el New York Times http://www.nytimes.com/2003/07/28/technology/28SPAM.html?ex=1374811200&en=6550b1fd9c0ce99e&ei=5007&partner=U SERLAND Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 52 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Otro estudio ms reciente, spam, the repeat offender de Nucleus Research 32 estima que, en la actualidad, los empleados de empresas de Estados Unidos invierten un 1,2% de su tiempo, aproximadamente 5,7 minutos diarios, en identificar los correos electrnicos de spam, generando as un coste medio de 712 dlares anuales por empleado en concepto de prdida de productividad, lo que implica unas prdidas anuales de 70.000 millones de dlares para un total aproximado de 100 millones de empleados que utilizan el correo electrnico. Aunque segn estas estadsticas se produjo una mejora considerable en el ao 2007 con respecto a 2004, cuando el empleado desperdiciaba el 3,1% de su tiempo reportando un gasto de 1.934 dlares anuales, sealan que no debe considerarse un triunfo, pues las prdidas continan siendo considerables y se ha detectado un incremento de falsos positivos en las soluciones antispam. De esta forma, se pierde un nmero apreciable de correos vlidos para la empresa, cuya prdida econmica resulta realmente difcil de estimar. Las tasas de error de las herramientas de proteccin contra el spam, han generado un cierto rechazo hacia ellas. .
Tabla 3: Impacto econmico del spam en EEUU (2007) Factores Total de empleados (n CORREO ) En concepto de spam el empleado gastaba diariamente (t Ei,d,spam ) Prdida econmica asociada al spam por empleado Prdidas de productividad anual por el spam Valor 100.249.046 5,7 minutos 712 USD 70.000 millones USD
Fuente: Nucleus Research

En este sentido hay que sealar que las fuentes consultadas presentan datos menos homogneos para realizar el clculo del impacto econmico para las prdidas por productividad, basado en el tiempo que pierde un trabajador en seleccionar y eliminar el spam. Las fuentes internacionales sealan en su mayora que el tiempo medio para eliminar el spam del buzn de correo de un trabajador est entre 3 y aproximadamente 10 minutos diarios. Segn el The McAfee Americans and spam Survey de McAfee, elaborado en el ao 2003, el 49% de los americanos pasa ms de 40 minutos a la semana borrando spam, o el de Nucleus Research que afirma un trabajador pasa 10 minutos al da borrando spam Otro informe National Technology Readiness, elaborado por Rockbridge Associates Inc. y el Center for Excellence in Service de la Universidad de Maryland, seala que el tiempo medio que un usuario pasa borrando spam es de 2,8 minutos diarios.

32

Nucleus Research: extrado de Spam, the repeat offender, Report H22, Notes and Reports, abril de 2007.http://nucleusresearch.com/research/notes-and-reports/spam-the-repeat-offender/ Pgina 53 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

4.1.1

Impacto econmico del spam en las empresas espaolas

Con respecto a Espaa, segn la Agencia Espaola de Proteccin de Datos, en datos del ao 2005, cada trabajador espaol necesita una media entre 15 y 20 minutos diarios para eliminar el spam de su buzn, es decir aproximadamente un 3,64% de su jornada laboral. Los datos recabados por INTECO, segn los expertos consultados apuntan que el tiempo medio diario que un trabajador espaol necesita para eliminar el spam de su buzn de correo oscila entre dos y cuatro minutos. Esto representa una media del 0,63% de la jornada laboral. Aunque no se encuentran publicados los costes y posibles prdidas econmicas se pueden realizar las siguientes estimaciones: si se tiene en cuenta que el coste laboral por empleado en trminos netos fue de 26.360 euros en el ao 2006 33 , el resultado es que las prdidas por productividad de los empleados en las empresas como consecuencia del spam se puede situar en 165 al ao por trabajador que utiliza habitualmente el correo electrnico en su puesto de trabajo. Si se considera esta cifra para el ao 2007, el las prdidas representan 179 al ao por trabajador 34 . Por otra parte, diversos estudios 35 plantean un incremento significativo del volumen de spam, con valores superiores al 70% del total de correos que circulan por la Red a finales del ao 2007 y con cifras cercanas al 80% 36 , en los primeros meses de 2008. Adems, el incremento del tamao de los propios mensajes spam, con las nuevas variantes en ficheros .pdf 37 o .mp3 38 , genera la necesidad de prestar servicios de Internet con anchos de banda cada vez mayores, ms costosos, que eviten saturaciones y mejoren la calidad. Estos crecimientos, de la cantidad de spam en circulacin y de su tamao, requieren tambin de inversiones en infraestructuras de soporte, como dispositivos de almacenamiento con mayor capacidad y sistemas de almacenamiento de respaldo, as como de inversiones en actualizacin de los sistemas informticos (por ejemplo, versiones de sistemas operativos actualizadas y estables, servidores de correo ms potentes que puedan manipular mayor trfico de mensajes, etctera). A la vez que se invierte en estas nuevas infraestructuras, las empresas tambin tienen que invertir en muchos casos en la contratacin de nuevo personal cualificado para el mantenimiento de las mismas y la proteccin frente al spam.

INE: Encuesta Anual de Coste Laboral, ao 2006 (publicada el http://www.ine.es/jaxi/menu.do?type=pcaxis&path=%2Ft22/p132&file=inebase&L=0


34

33

de

septiembre

de

2007).

Estimacin sobre el dato del coste laboral bruto del 4 trimestre del 2007 de la Encuesta Trimestral de Coste Laboral, INE (datos publicados el 14 de marzo de 2008).
35 36

MessageLabs y Symantec Corporation.

Symantec Corporation, en el ltimo informe de febrero de 2008, ha reportado una media del 75,0%-80,0% http://www.symantec.com/enterprise/security_response/weblog/2008/02/february_state_of_spam_report.html Por ejemplo: http://blog.hispasec.com/laboratorio/images/noticias/spam-pdf.PNG Por ejemplo: http://www.gfi.com/news/en/mp3spam.htm Pgina 54 de 165

37 38

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

Las inversiones persiguen un objetivo importante, lograr la fiabilidad en el servicio de correo electrnico. A diferencia de otros servicios informticos, en estas inversiones estn involucradas no slo las empresas proveedoras de servicios de Internet (ISP), sino todas aquellas organizaciones que manejan el correo e incluso, en muchos casos, los propios usuarios privados. Por supuesto, esta inversin es mayor para los ISP, las cuales finalmente trasladan estos gastos en concepto de servicios aadidos a los usuarios finales. El coste medio para una empresa con 1.000 cuentas de correo electrnico que externaliza todo su servicio se sita aproximadamente en 0,045-0,064/cuenta/da, es decir, entre 9.900 y 14.000euros al ao. Por esta inversin, el servicio podra incluir prestaciones como el filtrado de virus y spam, el almacenamiento seguro de 150GB con sistema de respaldo, el soporte de ocho nombres de dominio o la optimizacin y monitorizacin del trfico de correo. Sin embargo, las nuevas inversiones persiguen el objetivo de lograr fiabilidad en el servicio de correo. Un hecho en los agentes estudiados que merece la pena destacar es el problema que el spam provoca en el almacenamiento y copias de seguridad (backup) de los correos de los usuarios, especialmente acuciante en las organizaciones de cierto tamao y con salvaguardas reactivas frente al spam, con gran nmero de usuarios y donde el correo no deseado alcanza porcentajes de entre el 55% y el 90%. Segn los expertos, los buzones de correo de estos usuarios alcanzan fcilmente el mximo de su capacidad, sobre todo con la inclusin de spam en ficheros de tipo .pdf, imgenes o contenidos multimedia. Para un usuario que desee almacenar 100 MB de correos legtimos, ser necesario dimensionar su buzn con un tamao entre 0,7 y 1 GB; un servidor que sirva a 6.000 usuarios requerir 6 TB. Por otro lado puede ocurrir que la falta de fiabilidad en el filtro antispam propicie que algunos empleados busquen sus propias alternativas, relegando la cuenta de correo de la organizacin a un segundo plano y potenciando el uso del correo electrnico gratuito, mientras se producen consultas al servicio tcnico ante el retraso en la contestacin de un correo electrnico o cualquier incidencia que le ocurra, en cuyo caso se aplican las polticas de filtro de spam del proveedor del correo. Es muy importante que todos los agentes involucrados participen de manera activa en la reduccin del impacto que el spam puede causar. En comparacin con el resto de las amenazas de seguridad a los sistemas de informacin, la probabilidad de recepcin de un correo de tipo spam es ms alta, pues las medidas de salvaguardia no consiguen eliminarlos completamente (falsos negativos), por lo que se hace necesario que los propios agentes inviertan en modernos y actualizados mecanismos de proteccin antispam que ayuden en la reduccin de su nmero de incidencias, y por consiguiente, de su impacto.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 55 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Conviene destacar que la aplicacin de mecanismos de proteccin antispam produce, en muchas ocasiones, efectos colaterales con un impacto negativo en el sistema. Estos efectos pueden venir de la mano del retardo en la recepcin del correo por la comprobacin de los correos, la limitacin de los destinatarios de envo para un mensaje para que no sea considerado spam, las limitaciones de tamao del buzn de correo de los usuarios y, especialmente, la aparicin de falsos positivos. Aunque no existen datos contrastados sobre estos aspectos, se configuran como elementos que dificultan a los sistemas de una empresa la prestacin del servicio de correo a sus usuarios. Los falsos positivos tienen asociados importantes perjuicios para las organizaciones, pues dan lugar a la eliminacin de correos electrnicos legtimos cuyo contenido puede ser trascendente para los usuarios o las organizaciones. En el mejor de los casos, es necesario que los usuarios y tcnicos del sistema inviertan un tiempo muy significativo en la recuperacin de esos correos legtimos, si no han sido eliminados definitivamente. En este sentido, alguno de los agentes entrevistados cifra entre una hora y una hora y media el tiempo de recuperacin de un solo mensaje que ha sido errneamente clasificado como spam. A lo que se aade que las prdidas monetarias que puede ocasionar la no recepcin de esos correos no pueden ser estimadas con precisin. Coste total para las empresas Finalmente, se puede decir que el coste total que puede ocasionar el spam para las empresas se calcula a partir de la suma de: Las prdidas por productividad de los empleados. Y el coste necesario para lograr la fiabilidad del correo electrnico frente al spam, dividido en: o o Costes de personal. Costes de infraestructuras tecnolgicas: para una empresa puede calcularse a partir de los costes de licencias de herramientas software, como las antispam, y el coste de equipos informticos de comunicaciones, soporte y almacenamiento.

Usuarios La propia tecnologa del correo electrnico y sus protocolos asociados repercute en el eslabn ms dbil de la cadena de la seguridad: el usuario final. Los usuarios son el componente ms vulnerable, especialmente aquellos con menos formacin en seguridad que hacen uso del correo electrnico con fines no profesionales.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 56 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Existen efectos del spam que tienen relacin con tiempo invertido 39 , especialmente cuando se trata de usuarios que utilizan una conexin a Internet cuyo cobro se factura por minutos, lo ms habitual en conexiones mviles a travs de tarjetas GPRS/3G. En este sentido, los lmites de capacidad de navegacin o volumen, a lo que se aade el tiempo que se emplea en borrar el spam, agudizan la repercusin que sufre el usuario de estos sistemas de conexin. El spam tambin incrementa el coste de otros servicios de Internet, como el alojamiento Web con cuentas de correo, donde el pago est condicionado por el volumen de informacin que se enva, se recibe y se almacena. Otros efectos econmicos derivados del spam En este anlisis de impacto econmico no se puede obviar que el spam no slo genera problemas por s mismo, como ataque a la seguridad, sino que adems constituye una fuente fundamental de propagacin de malware, ataques de phishing, etctera. Muchas de las prdidas relacionadas con estos ataques pueden verse asociadas tambin al spam como medio de propagacin del mismo. Aunque es difcil discernir qu cantidades generales de prdidas son provocadas por uno u otro mtodo de propagacin, s resulta importante destacar que el uso del spam constituye una de las vas de ataque y propagacin ms baratas, y por lo tanto, altamente peligrosa. En igual medida, los correos de tipo spam que intentan lograr fraudes piramidales, desacreditan empresas, difunden publicidad fraudulenta, etctera generan tambin prdidas monetarias para organizaciones y usuarios, aunque es prcticamente imposible calcular su accin sobre la economa. Repercusiones derivadas del impacto econmico del spam El anlisis muestra que existen prdidas econmicas fruto de la actividad del spam, y que en cierta medida se pueden estimar (aunque con matizaciones, dada la dificultad de obtener valores monetarios reales), pues se conoce que el spam: Afecta a la capacidad de almacenamiento de los servidores, que se saturan de correo basura, e incluso de los correos personales. Por lo tanto, incrementa los costes dirigidos a asegurar mayores dispositivos de almacenamiento. Provoca una asignacin poco eficiente de los recursos informticos como el ancho de banda, pues se genera un trfico no deseado de correos que congestiona las infraestructuras de comunicaciones utilizadas para el servicio del

39

Asociacin de Internautas: www.internautas.org Pgina 57 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

correo electrnico y la conexin a Internet en general. Por ello, aumenta los costes asociados a un mayor ancho de banda que garantice este u otros servicios. Hace perder tiempo a los usuarios, que deben revisar los correos (tanto personales como de empresa) y borrar el spam, lo que genera costes de productividad. Aumenta el coste de tiempo, almacenamiento, productividad e infraestructuras para instalar filtros antispam en servidores y ordenadores personales. Adems, este coste incrementa el de personal cualificado para estas tareas.

En cambio, existen otros factores con clara influencia en la economa, pero cuyos valores reales son de difcil estimacin. Se sabe que el spam: Afecta a los recursos de los servidores, ya que procesar spam hace lento el tratamiento y proceso del correo normal, tanto en el momento en que los correos son analizados en los servidores como en los ordenadores personales con filtros antispam. Constituye una herramienta de propagacin de malware y ataques de phishing y, por lo tanto, debe tenerse en cuenta en tanto su problemtica, como as tambin en soluciones y recuperacin. Puede menoscabar la reputacin de las empresas y, en consecuencia, sus ganancias. El envo de correos falsos a su nombre puede generar rechazo hacia estas empresas y afectar a la cantidad de clientes que utilicen o soliciten sus servicios. Impacto social

4.2

El spam se ha convertido en un problema de seguridad para todos los usuarios que hacen uso de las redes de comunicacin y sus servicios. Muchos de ellos, poco relacionados con las Tecnologas de la Informacin y la Comunicacin, pueden no reconocer los problemas tecnolgicos asociados al spam, ni incluso su nombre tcnico, pero tras una breve descripcin afirman no slo conocerlo sino padecerlo. As, puede sealarse que el spam es un problema de los sistemas informticos que afecta a todos los miembros de la Sociedad de la Informacin. Se puede afirmar con certeza que el grupo de afectados por el spam es aun ms amplio que el que sufre ataques como el phishing (que suele requerir que los usuarios estn habituados a realizar compras o transacciones bancarias en Internet, en las que se comprometen datos crticos), o incluso cdigos maliciosos (malware), que con buenas

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 58 de 165

Instituto Nacional de Tecnologas de la Comunicacin

conductas y medidas de proteccin automticas pueden ser controlados. Se puede considerar que el spam constituye uno de los problemas de seguridad informtica ms extendidos en la actualidad, pues el correo electrnico es uno de los servicios ms usados de Internet. Los usuarios lo describen como un problema muy molesto que satura sus buzones de correo, ocupa su tiempo en eliminar los mensajes y en discriminar los correos legtimos y que provoca en muchas ocasiones errores propios que terminan con la eliminacin o consideracin de correos legtimos como spam. Una de las conclusiones ms interesantes que sealan los expertos consultados es la prdida de confianza en el filtro antispam de la organizacin en la que trabajan y, por tanto, en su servicio de correo electrnico, debido a la posibilidad de que la aplicacin pueda provocar, como efecto colateral, la aparicin de falsos positivos. En ocasiones, estos usuarios terminan relegando su cuenta de correo de la organizacin, corporativa o profesional, a un segundo plano para potenciar el uso de cuentas de correo electrnico gratuito, adems de emplear el acuse de recibo en el envo de todos sus correos electrnicos o, lo que quizs sea ms perjudicial para el sistema de informacin, realizar consultas frecuentes al servicio tcnico ante el retraso en la contestacin de un correo electrnico o cualquier incidencia poco significativa. Por otra parte, el fenmeno del spam se ha convertido en el principal promotor del uso de los sitios Web para el manejo del correo, el denominado correo online de propsito general y ms extendido (Yahoo, Hotmail, Gmail, etctera), que muestran buenos ndices de filtrado de spam y bajos valores de falsos positivos (dado que disponen de mayores recursos para su solucin) .Mediante este servicio el usuario puede chequear informaciones de su buzn, como la cantidad de correos recibidos y sus asuntos, remitentes, tamao, documentos adjuntos, etctera, sin necesidad de bajar el cuerpo de todos los mensajes. Esto resulta especialmente til en aplicaciones donde el usuario paga por tiempo conectado o por flujo de informacin trasmitido, como el correo mvil. Este hecho resulta preocupante pues, como se ha comentado, en algunos casos se redirigen hacia esas direcciones correos con informacin confidencial para las empresas ,que por polticas de seguridad no deberan entrar en un circuito externo a la propia organizacin. Todo esto ha generado una desconfianza relativa entre los usuarios habituales del correo electrnico. En este punto, es interesante distinguir el entorno en el que se utiliza; lgicamente, el grado de desconfianza del usuario es mayor en el entorno laboral que en el domstico, dada la importancia asociada al contenido de los mensajes en cada caso. En ninguna de las dos situaciones resulta fcil renunciar al uso del correo, por razones profesionales en el primer caso y por necesidades sociales u ocio en el segundo.
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 59 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Parece clara la inmersin cada vez mayor de los usuarios en la comunicacin global mediante el correo electrnico, a pesar de los riesgos y dificultades del spam. Sin embargo, es importante sealar que la sustitucin del correo por otros medios cibernticos para comunicarse, tanto en el entorno domstico como en el laboral, es cada vez ms notable; se observa un uso creciente de las tecnologas de mensajera instantnea para la comunicacin en mltiples planos de las relaciones personales y profesionales. Si bien es cierto que este cambio viene favorecido por las claras ventajas que estas tecnologas presentan, como la conversacin textual, la transferencia de ficheros, voz e imagen, etctera, no se puede descartar que esta circunstancia tenga un efecto al menos limitador en la proliferacin del spam. Entre las demandas de los usuarios para hacer frente al problema del spam se encuentra la peticin de utilidades o programas que implementen soluciones integrales y que sean transparentes en su funcionamiento y fciles de usar, es decir, que no requieran un perfil tcnico en su implementacin. Adems, cada vez se reclaman ms medidas formativas y de carcter legislativo 40 . En particular para el caso del spam, es comn encontrar opiniones sobre la necesidad de fortalecer medidas normativas que recrudezcan las sanciones a los spammers 41 . Por otra parte se empiezan tambin a adoptar algunos cambios de conducta frente al correo electrnico directamente relacionados con las medidas preventivas que pueden realizar los propios usuarios y, ms concretamente, con aquellas que se pueden adoptar mediante herramientas especializadas. Con mayor frecuencia, el usuario medio emplea tiempo y dedicacin a instalar, actualizar y mantener sus herramientas antispam. Los programas integrales de seguridad del sistema, facilitan ciertamente esta gestin de la seguridad en el ordenador domstico. Adems los esfuerzos por mejorar la usabilidad de los programas se convierte en un acicate que los dota de valor aadido y mejores actualizaciones y ms competitivas. Estas mejoras orientadas hacia el usuario medio son imprescindibles ante la complejidad de esta tecnologa, que se acaba traduciendo en un sinfn de parmetros de configuracin. Se empieza tambin a experimentar un cambio en el uso y comportamiento del usuario ante el correo electrnico como consecuencia del spam por medio de acciones proactivas. Las ms sencillas y quizs las ms extendidas se centran en:

INTECO: Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (1 Oleada: Dic-Ene 07), 2007. Disponible en http://observatorio.inteco.es Esto se corrobora en diferentes opiniones expresadas en la Asociacin de Internautas sobre el spam. Revocada la primera sancin que hubo en Espaa por SPAM, http://www.internautas.org/html/4373.html, para evitar el spam http://www.internautas.org/html/1479.html Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 60 de 165
41

40

Instituto Nacional de Tecnologas de la Comunicacin

No facilitar la direccin de correo propia a travs de medios web, manuscritos, telefnicos, etctera ante la sospecha de que puedan ser accedidos por terceras personas. Disponer de cuentas de correo separadas en funcin del entorno de uso, profesional o domstico, y dentro de este ltimo, de cuentas con distintos perfiles, por ejemplo, suscripciones, amistades, etctera. No reenviar los mensajes por defecto, ya que consume el tiempo del usuario, quien es cada vez ms consciente del problema del spam derivado de los correos aparentemente inocuos. Adicionalmente, va en aumento el nmero de usuarios concienciados que aprovechan tales correos para informar a sus contactos remitentes sobre el perjuicio que pueden causar con estas prcticas. Obviamente, todos estos cambios de conducta deberan estar a la orden del da en el mbito profesional. Otro aspecto menos abordado hasta el momento, pero que comienza a ser preocupante, es que el fenmeno del spam ya no est solo encerrado en las barreras de Internet, sino que intenta llegar a otros servicios de comunicacin. La telefona mvil sufre actualmente envo de spam por medio de los SMS y MMS 42 . Esta nueva forma de ataque afecta en menor medida que el spam ordinario; hasta el momento resulta todava alentador, en este aspecto, la inexistencia de pasarelas gratuitas de envo y, por lo tanto, el coste de los mensajes, ha impedido que el fenmeno cobre mayor fuerza. Por otra parte, la mensajera instantnea se ha visto afectada con el envo indiscriminado de mensajes, los denominados spim. Segn los informes de Ferris Research, en 2003 se enviaban ya 1.000 millones de mensajes spim entre las herramientas de mensajera estudiadas, MSN Messenger, AOL IM, Yahoo! Messenger e ICQ, y el fenmeno presentaba una tendencia a duplicarse 43 . Aunque esto puede detenerse por las propias polticas de los usuarios de no aceptar mensajes de desconocidos, muchos spammers estudian y utilizan vulnerabilidades de estos sistemas para realizar envos indiscriminados. Hasta ahora, no ha alcanzado valores realmente elevados como para desatacar su impacto sobre los usuarios o en las comunicaciones, pero se dedican esfuerzos en la correccin de vulnerabilidades que podran ser explotadas con este objetivo. Tambin comienza a mencionarse el spam sobre tecnologa de Voz sobre IP. Se denomina SPIT (en ingls, spam over Internet telephony). Un usuario no autorizado puede

Uno de los primeros casos de este tipo de spam fue registrado en el ao 2004, cuando el spammer Dmitry Androsov fue acusado de desarrollar un cdigo Perl que envi SMS a ms de 16.000 telfonos mviles de la compaa rusa Megafon.
43

42

http://www.informationweek.com/news/showArticle.jhtml?articleID=17300905 Pgina 61 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

iniciar una comunicacin no solicitada o no deseada como, por ejemplo, una llamada de telemarketing. Si bien este problema no ha tomado gran auge y no es relevante el impacto que ocasiona entre los usuarios, el incremento de su uso podra ocasionar futuros problemas asociados al spam. A pesar de las posibles formas que el spam puede adoptar en otros servicios, todo sigue apuntando a que seguir siendo un problema de seguridad con un desarrollo incremental dentro del servicio de correo electrnico. Sus objetivos son cada vez ms amplios y trabaja por realizar ataques cada vez ms sofisticados ante la pericia que va adquiriendo la comunidad de usuarios. Son las organizaciones las que dedican importantes esfuerzos a minimizar el impacto del spam entre sus empleados como usuarios finales. La recepcin de correo no deseado alcanza a la totalidad de usuarios de las organizaciones quienes, al igual que los administradores tcnicos de los sistemas, se encuentran familiarizados con el fenmeno y disponen de conductas adquiridas con el tiempo para manejarlo. El spam se ha convertido en una caracterstica ms del correo electrnico en Espaa y con esa normalidad es tratado por directivos, administradores y usuarios. Durante el estudio se ha podido constatar que generalmente en las organizaciones de gran tamao el impacto del spam se ha reducido de manera muy significativa, llevndolo a niveles totalmente satisfactorios para los administradores y usuarios. Por tanto, estos ltimos se han visto beneficiados por la labor de su empresa en la lucha contra el spam (que a menudo incluye la formacin especfica) y reconocen un bajo impacto del fenmeno sobre sus hbitos y tareas profesionales. Sin embargo, esta situacin de plena satisfaccin no se produce en las empresas de menor tamao, pequeas y medianas, en las que sigue existiendo un considerable impacto en el tiempo que invierten sus usuarios en filtrar el correo no deseado o en la recuperacin de falsos positivos.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 62 de 165

Instituto Nacional de Tecnologas de la Comunicacin

5 RESULTADO CUANTITATIVO DEL ESTUDIO: EL SPAM EN CIFRAS


Uno de los objetivos del estudio es presentar datos fiables y robustos sobre la problemtica del correo no deseado. Esta parte se centra en la cuantificacin del fenmeno del spam. En este captulo se ha realizado primeramente una labor de recopilacin de estudios de fuentes secundarias, que incluyen metodologas de anlisis distintas. Esto conlleva pequeas diferencias en los datos, por ejemplo del volumen de spam en circulacin. De otro lado, se recogen cifras sobre el spam en Espaa, a travs de los datos de la red de sensores de spam de INTECO. Esta red se compone de 14 sensores distribuidos geogrficamente que envan informacin regularmente, situados en servidores de correo de pymes y usuarios, y monitorizados a travs de 13 herramientas antispam distintas. 5.1 Situacin del spam en el panorama mundial

Internacionalmente, el spam ha alcanzado en los ltimos aos proporciones preocupantes. Las fuentes de datos son diversas 44 , pero todas coinciden en el incremento de estos correos en los ltimos aos. Un reciente estudio presentado por Symantec sobre la estimacin del trfico de correo electrnico detallaba que, desde el ao 2004, se ha producido un incremento progresivo. Segn los datos correspondientes al primer semestre de 2006, el porcentaje de spam fue de un 54,0%, culminando dicho ao con valores del 59,0%; en los informes mensuales de enero y febrero de 2007, el nivel de spam ascendi desde un 60,0% a un 80,0% aproximadamente. Segn Aladdin 45 se produce un incremento acumulado del trfico de correo electrnico no deseado a razn de un 40% anual. Por su parte, MessageLabs detect tambin en sus estadsticas trimestrales un incremento del volumen de spam a finales del 2006, que lleg hasta un 73,5% del total. El Grfico 2 presenta la evolucin del trfico de spam para los valores medios trimestrales entre los aos 2005 y 2007:

44

Symantec (http://investor.symantec.com) publica informes sobre el estado del spam a nivel mundial a partir de las respuestas proporcionadas por sus productos antispam. Es el mismo caso de MessageLabs (http://www.messagelabs.com/) Aladdin, http://www.aladdin.com/csrt/security-statistics.aspx Pgina 63 de 165

45

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 2: Volumen de spam en mensajes de correo en Internet 2005-2007 (%)


80% 70% 60% 50% 40% 30% 20% 10% 0%
20 05 20 06 ar 20 05 20 06 20 05 ar 20 06 ar 20 07 20 05 20 07 20 06 20 07 20 07

76,1% 68,3% 66,0% 61,7% 59,2% 60,4% 63,9%

73,5%

76,0%

73,7%

72,8%

75,5%

O ct -D ic

O ct -D ic

Ab r

Ju l

En

En

En

Fuente: MessageLabs

Segn los datos de Symantec y MessageLabs, durante todo el ao 2007 no se han detectado mejoras y el volumen de correos electrnicos no deseados sigue siendo considerable 46 : cerca de tres de cada cuatro correos electrnicos que se envan a travs de la Red son correos electrnicos no deseados, spam. Las causas de este incremento pueden tener orgenes diversos. Por una parte, el aumento de conexiones a Internet de forma global ha supuesto tambin un notable crecimiento del nmero de posibles objetivos. Por otra parte, la proliferacin de las redes de ordenadores zombies, junto con el refinamiento reciente de las tcnicas empleadas para formarlas, se suman a las causas que justifican este crecimiento en el volumen del spam. La evolucin mensual del volumen del spam detectado a nivel mundial, como se observa en el grfico siguiente, muestra una estabilizacin del mismo en el ltimo ao. En el mes de febrero de 2008 ha alcanzado valores de 72,7%.

Los resultados de los estudios llevados a cabo por Symantec y MessageLabs fueron obtenidos de sus servicios de control, cifrado y archivo de comunicaciones electrnicas, as como de sus herramientas antispam, lo cual permite analizar el estado del spam a nivel mundial de manera fiable. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 64 de 165

46

O ct -N ov

-J un

-S ep

-J un

-J un

-S ep

eM

eM

eM

Ab r

Ab r

Ju l

Ju l

-S ep

Instituto Nacional de Tecnologas de la Comunicacin

Un factor que hay que tener en cuenta al hacer un anlisis geogrfico del spam es el idioma en el que se enva el correo. La lengua ms utilizada es el ingls (80,0%); sin embargo, en el ltimo ao el uso del ruso y el alemn han aumentado significativamente, as como del chino, fundamentalmente en los mensajes enviados a Hong Kong. 5.1.1 Zonas y pases emisores de spam

Resulta interesante estudiar las cifras del spam en funcin de los pases desde los que se enva. En el Grfico 3 se aprecian claramente las tres zonas geogrficas donde se genera mayoritariamente: EE.UU., Europa y Asia. Estados Unidos es la regin desde la que se envan ms mensajes de correo electrnico no deseado (56,0%), seguida de cerca por Europa (33,0%) y, a mayor distancia, Asia (17,0%). Estas cifras hacen pensar en el impacto que puede llegar a provocar el spam en zonas geogrficas como la de Estados Unidos, que adems resulta ser la zona de origen de la mayora de correos detectados como spam (43,0%).
Grfico 3: Distribucin mundial de correo y spam enviado, por zona geogrfica (%)
60% 50% 40% 30% 20% 10% 0%
da m r ic a /O ce an f ric a r ic a As ia a ro p a

56% 43% 33% 26% 13% 17% 5% 6%

3% 3%

2% 2%

No rt e

Am

Eu

%Correo

Au s

tra lia

Su

%Spam

Fuente: Symantec (2007)

Aunque el porcentaje de mensajes de correo enviados desde Europa, con respecto al total, es bastante menor que el de EE.UU., el ndice de spam es bastante prximo, de lo que se deduce que el ratio de spam generado en Europa sobre el total de mensajes enviados alcanza unas cifras preocupantes. Una posible explicacin a este fenmeno es el hecho de que muchas de las redes de ordenadores zombies operan desde pases de

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 65 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Europa del Este. Aun as, y como se observa en la siguiente tabla, la mayora del spam se origina en los Estados Unidos.
Tabla 4: Zonas generadoras de spam (%) % del total de mensajes 2005 70,0% 13,0% 13,0% 2,0% 1,3% 0,2% Feb 2007 55,0% 13,0% 28,0% 2,0% 2,0% 0,5% % de spam 2005 55,0% 24,0% 16,0% 3,0% 1,6% 0,2% Feb 2007 43,0% 15,0% 36,0% 3,0% 2,0% 0,5%
Fuente: Symantec

Pases Estados Unidos Asia Europa Amrica del Sur Australia/Oceana frica

Como se puede ver en el Grfico 4 de la lista de pases en los que se genera el spam, EE.UU. encabeza la lista, seguido de Corea del Sur y China.
Grfico 4: Pases generadores de spam en Internet en el ao 2007 (%)
EEUU Corea del Sur China Polonia Rusia Brasil Alemania Francia Turqua Italia Espaa India 0% 6,5% 6,0% 4,9% 4,7% 3,8% 3,5% 3,5% 3,1% 2,7% 2,7% 2,6% 10% 20% 30% 22,5%

Fuente: Sophos

Segn Sophos, entre los aos 2005 y 2008, Espaa se ha mantenido entre la quinta y undcima posicin en la lista de pases que ms spam generan. Segn los ltimos

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 66 de 165

Instituto Nacional de Tecnologas de la Comunicacin

datos recogidos, el 2,7% del spam mundial tiene su origen en Espaa, que se sita en la undcima posicin 47 . El alto volumen de spam enviado desde EE.UU. es debido en gran parte a que este pas encabeza la lista de los pases con mayor nmero de mquinas comprometidas 48 , como se observa en la Tabla 5. Espaa se sita como el noveno pas con ordenadores comprometidos, lo que confirma la relacin actual entre el envo de spam y las redes de ordenadores zombi. A pesar de los esfuerzos dedicados en EE.UU. a desarrollar software antispam 49 y a las nuevas leyes diseadas para combatir el fenmeno del spam 50 , aun no se han producido los resultados esperados en la eliminacin de spam, ni en la deteccin y sancin de los spammers.
Tabla 5: Pases con mayor cantidad de mquinas comprometidas % de mquinas comprometidas 19,08% 14,56% 9,61% 5,99% 5,69% 5,56% 3,70% 3,13% 2,96%

Pases Estados Unidos China Corea del Sur Alemania Francia Brasil Japn Reino Unido Espaa

Total 964.020 735.598 485.492 302.618 287.368 281.168 186.691 158.009 149.634
Fuente: CipherTrust

Resulta tambin preocupante el incremento en la generacin de spam que se observa en Europa, a pesar de que las leyes diseadas contra los spammers son mucho ms restrictivas que las estadounidenses. Como se muestra en el Grfico 5, la relacin entre el volumen de spam generado en Europa y el porcentaje de volumen mundial de correo alcanza ya cifras significativos.

47 48 49

Sophos: http://esp.sophos.com/ Portal dedicado a las investigaciones de seguridad en Internet http://www.ciphertrust.com/resources/statistics/zombie.php

Un elevado porcentaje de las empresas desarrolladoras de filtros antispam son estadounidenses o tienen una importante sede en EE.UU.
50

CAM-SPAM Pgina 67 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 5: Relacin de volumen de spam respecto al total de correos enviados (%)

43,0%
ni do

55,0%

Es ta do s

28,0%
ro p

36,0%

Eu

15,0%
As ia

13,0%

0%

10% Total de correo en %

20%

30%

40%

50% Correo spam en %

60%

Fuente: Symantec

Segn el portal TopTenReview 51 , que presenta una recopilacin de resultados estadsticos, procedentes de estudios de diversas fuentes como Google, Brightmail y Symantec, Jupiter Research, eMarketer, Gartner, MailShell, Harris Interactive, y Ferris Research 52 que se basan en la clasificacin de los propios clientes de correo. Los principales resultados obtenidos son: El nmero de mensajes de spam recibidos a diario por una persona suscrita a una cuenta de correo es aproximadamente seis, frente a una cantidad total aproximada de correos de diez. La cantidad diaria que se enva de spam asciende 12.400 millones, frente a un total de 31.000 millones de correos.

51 52

Evett, Don: Spam statistics 2006. TopTenReview, http://spam-filter-review.toptenreviews.com/ http://www.jupiterresearch.com/bin/item.pl/home

http://www.emarketer.com/ http://www.gartner.com/ http://www.mailshell.com/ http://www.harrisinteractive.com/ http://www.ferris.com/ Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 68 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Anualmente, una persona suscrita a una aproximadamente 2.200 mensajes de spam.

cuenta

de

correo

recibe

El coste anual de todos los usuarios de Internet que no pertenecen a una empresa es aproximadamente 255 millones de dlares. El 28,0% de los usuarios responde al correo spam. Entre el 15,0% y el 20,0% de correos legtimos corporativos es clasificado como correo spam (falsos positivos) y por tal motivo se pierde. Esta prdida es muy difcil de cuantificar en trminos econmicos.

La prdida de tiempo promedio por usuario es de cuatro a cinco segundos por cada correo spam, considerando que solamente decida eliminarlos.

5.1.2

Pases receptores de ataques de spam

En el Grfico 6 53 se presenta el porcentaje de spam recibido en cada pas respecto al volumen total de correos que recibe. Los pases ms afectados en 2006 fueron India, Hong Kong y EE.UU. En pases como Espaa, Suecia, Francia o Italia, que hasta el ao 2005 no presentaban cifras significativas de spam, comenzaron entonces a reportar valores elevados, en torno al 40,1%, 40,9%, 49,8% y 57,4% respectivamente. Este crecimiento se ha reflejado tambin en Asia, particularmente en Hong Kong, donde el volumen de spam creci de un 61,6% en el 2005 a un 71,1% en 2006. En Australia pas de un 39,9% a un 48,1% en las mismas fechas y en Singapur, del 35,3% al 50,7%. Una conclusin importante de este estudio es la relacin directa entre el rpido crecimiento de la economa global y el incremento del volumen de spam. El spam recibido en Espaa se estudia con mayor detalle en el apartado 6, a travs de los datos suministrados por la red de sensores de spam de INTECO.

Para el ao 2005 no se dispone de datos de volumen de spam en todos los pases. Corresponden a aquellos casos marcados con 0,0%. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 69 de 165

53

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 6: Porcentaje de spam recibido por cada pas respecto al volumen total de todos los correos que recibe. 2005-2006 (%)
90% 80% 70% 60% 50% 40% 30% 20%
0,0% 0,0% 0,0% 0,0% 0,0% 0,0%

77,0%

75,2%

61,6% 71,7%

64,4% 56,9%

63,5%

77,0%

59,9% 54,9%

57,4%

56,3% 51,7%

55,5%

55,2%

50,5% 49,1%

50,7%

50,2% 50,6%

49,8%

39,9% 48,1%

40,9%

40,1%

10% 0%

En el ao 2007 se confirm el crecimiento en pases como Israel o Francia. El caso de Israel, cuyo volumen de spam se ha mantenido muy elevado durante el ltimo ao, se debe a que este pas ha sido la base de dos de las peores operaciones de spam de 2007 54 . Tambin se confirma la relacin entre el idioma utilizado en el spam y el pas objetivo. La lengua predominante es el ingls, que completa entre el 70,0% y el 80,0% del total; sin embargo, se incrementa el spam en chino, particularmente el que tiene como objetivo Hong Kong.

54

SpamHaus Project. Pgina 70 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

di a H Es .K ta on do g s U ni do s I rl an da Al em an ia Ca na da E. Ar ab Re es in o Un id o B lg ic Si a ng ap ur e Au st ri a Fr an ci a Ho la nd a Au st ra lia Su ec ia Es pa a Ja p n
2005 2006

In

Fuente: MessageLabs

36,1% 30,1%

35,3%

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 7: Porcentaje de spam recibido por pas respecto al volumen total de todos los correos. 2007 (%)

Israel

68,9%

Hong Kong

64,5%

Alemania

55,2%

EEUU

54,2%

Francia

53,8%

0%

10%

20%

30%

40%

50%

60%

70%

80%

Fuente: MessageLabs

5.1.3

Evolucin de la tipologa de spam en el mbito internacional

Una caracterstica de la evolucin actual del spam es el nuevo uso que se le da. En los inicios de la era de la informacin, las comunicaciones electrnicas no deseadas comenzaron siendo inofensivas; se enfocaban principalmente hacia la prdida de tiempo, preocupante principalmente para las empresas, y su principal objetivo era el de atacar a los servidores de correos llenndolos de basura hasta saturarlos, mediante DDoS (Distributed Denial of Service, ataque de denegacin de servicios), o llenar los buzones de los usuarios. Sin embargo, en la actualidad el spam ha evolucionado hasta convertirse en una herramienta para usos ms sofisticados: obtencin de informacin privada, fraudes que pueden ocasionar ventas y acciones no reales con perjuicios econmicos, etctera. Segn la empresa Symantec, desde el ao 2005 se ha producido un incremento de esta tipologa de spam en diversos pases. El spam comercial de venta engaosa de productos y el de tipo financiero son los ms comunes, con un 20,0% y 19,0% respectivamente (Grfico 8), sobrepasando considerablemente los de contenido pornogrfico, generalmente los ms mencionados por los usuarios. Para TopTenReview se revela un estado muy parecido al recogido por Symantec en cuanto a la distribucin por tipos de spam: encabezando la lista los mensajes de venta de productos comerciales (25,0%) y financieros (20,0%), pero tambin muestran un valor muy

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 71 de 165

Instituto Nacional de Tecnologas de la Comunicacin

elevado los de contenido adulto (19,0%, frente al 7,0% mostrado por Symantec 55 en el mismo ao). Este dato se asocia al carcter masivo y de uso personal de las cuentas de correo estudiadas.
Grfico 8: Tipos de spam en el ao 2005 (%)

7% 10% 20%

10%

Com ercial Financiero Salud Internet Estafas Ocio Adulto Fraude de em presas

10%

19%

11%

13%

Fuente: Symantec

Los datos del ao 2007 revelan un considerable aumento del fraude financiero online basado en la inversin en acciones o en las compras en lnea. La tipologa general del spam deriva hacia los grupos de spam financiero, comercial, salud e Internet, disminuyendo los porcentajes de spam de tipo ocio o de contenido para adultos. A su vez los estudios revelan que la ofensiva sobre los correos spam ha tenido un gran xito en los mensajes con contenido para adultos pues, generalmente, son ms sencillos de filtrar por las herramientas disponibles dadas las caractersticas de sus palabras y expresiones. Otros tipos de contenido del spam han sufrido un gran descenso, como aquellos sensacionalistas y espirituales.

55

http://www.symantec.com/region/de/PressCenter/spam.html Pgina 72 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 9: Tipos de spam en febrero del 2007 (%)


4% 4% 5% 25% 3%

13%

Financiero Com ercial Salud Internet Ocio Estafas Adulto Fraude de em presas

23% 23%

Fuente: Symantec

Sin embargo, esto no alivia el problema del spam, puesto que se est produciendo un nuevo fenmeno: frmulas antiguas de spam, como los mensajes relacionados con la salud o la venta de medicamentos, estn siendo retomadas por los spammers con nuevas formas, generalmente mediante ataques enfocados a usuarios menos expertos, lo cual revela un comportamiento cclico en cuanto a los tipos de spam que se producen. Es decir, variantes de spam que desaparecen temporalmente de la circulacin, vuelven a ser utilizadas por los spammers. Este fenmeno es en gran medida debido a la evolucin de los propios usuarios de Internet, ya que el correo electrnico ha dejado de ser tan slo una herramienta empleada por los profesionales en su mbito laboral, a ser un servicio ms en la vida cotidiana de los ciudadanos. 5.1.4 Escritura del spam

Por otra parte, los spammers estudian constantemente las herramientas de proteccin con el objetivo de desarrollar tcnicas que las vulneren. De esta forma, toman auge tcnicas ms novedosas, como el spam con imgenes, ms difciles de detectar, analizar y procesar por los filtros y con capacidad para consumir ms recursos. Segn Symantec, durante los meses finales de 2006 se produjo un aumento de correos spam con imgenes de hasta un 46% del total de todos el spam, lo cual se contrasta con los valores del primer semestre, que no sobrepasaron el 30%, lo que indica la rpida aceptacin del spam mediante imgenes, y ya a principios de 2007 registraba valores de hasta un 53%.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 73 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Por otro lado, los resultados presentados por MessageLabs en octubre de 2007 no muestran las cifras del volumen de spam por imgenes como preocupantes, pues slo supondran un 5,0% del total de spam detectado. Segn estos informes, el spam en formato de correo TEXT sigue siendo el formato ms utilizado (aproximadamente el 50,0% del total), junto con el spam HTML, con un 40,0%, en gran medida por la sencillez de su creacin. Otros nuevos formatos de spam son aquellos relacionados con el envo de archivos adjuntos en formato .pdf o .zip, que por el momento representan tan slo un 0,5% del total del volumen de spam. Es de esperar que esta tipologa crezca en los prximos aos. 5.1.5 Tamao de los mensajes de spam

Segn Kaspersky en su informe Kaspersky Security Bulletin 2007. El spam en 2007, los correos de spam suelen contener un texto corto y un vnculo (70%). Esto significa que el peso de los mensajes no es muy grande. Aproximadamente un 40% de los mensajes spam no sobrepasan los 5 KB. En el caso de spam de mayor peso, la mayor parte de los mensajes spam de 5 a 10 KB de tamao incluyen textos publicitarios, o mensajes con texto adicional al azar. Los spammers prefieren enviar mensajes con menos de 10 KB porque cuanto ms corto sea es el texto ms rpidamente llegan a los usuarios.
Grfico 10: Peso en Kb de los correos de spam (%)

45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 5 Kb 10 Kb 20 Kb 50 Kb 100 Kb 200 Kb 8% 2% 2% 0% 400 Kb 0% Ms de 400 Kb 13% 40% 35%

Fuente: Kaspersky

Otro dato significativo en el peso de los mensajes es que el 13% del spam corresponde a mensajes de 20 a 50 KB. Esta categora, bastante popular a mediados del 2007, incluye spam grfico y mensajes spam con adjuntos (pdf).

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 74 de 165

Instituto Nacional de Tecnologas de la Comunicacin

5.1.6

El spam en otros servicios: mvil y voz sobre IP

Otro aspecto preocupante del fenmeno del spam es que ya no est slo ligado al uso de Internet, sino que est traspasando barreras y tratando de llegar a otros servicios de comunicacin. La telefona mvil sufre actualmente el envo de spam por medio de los SMS y MMS. Resulta alentador, en este aspecto, la inexistencia de plataformas gratuitas para su envo, por lo que el coste de los mensajes ha impedido que este fenmeno cobre fuerza. La mensajera instantnea va Internet se ha visto afectada con el envo indiscriminado de mensajes. Tambin comienza a surgir el spam sobre tecnologa de Voz sobre IP, denominado SPIT (en ingls, Spam over Internet Telephony). Un usuario, malicioso o no, puede iniciar una comunicacin no solicitada o no deseada como una llamada de travesura 56 o de marketing 57 , entre otras. Aunque son todava pocos los usuarios de este sistema, el incremento de su uso podra ocasionar futuros ataques de spam. Sin embargo, en la actualidad el volumen de todo este tipo de spam no constituye un porcentaje significativo frente al enviado mediante correo electrnico, por lo que no se dispone de cifras relativas a estos tipos de incidencias.

Llamadas con contenidos bromistas, pero que saturan la Red y hacen perder tiempo. Generalmente incluyen sonidos o msica.
57

56

Llamada telefnica para vender productos o servicios a un consumidor. Pgina 75 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

6 SITUACIN DEL SPAM EN ESPAA


En el mbito nacional en relacin al correo electrnico no deseado en Espaa, la base de los datos procede de la red de sensores de spam de INTECO. Esta se compone de 14 sensores distribuidos geogrficamente, y situados en servidores de correo de pymes y usuarios. En ellos se procede a la monitorizacin de los correos que por ellos circulan, donde son analizados y clasificados en detalle, a travs de 13 herramientas antispam distintas. Tambin se han analizado fuentes externas y sus resultados ms destacados. En un mbito estrictamente nacional, y segn datos de la Asociacin de Internautas, la cantidad de correos spam que recibe de media un usuario es de un 60,0% sobre el total. Segn la red de sensores de la empresa Sophos, Espaa estaba por detrs de pases como Estados Unidos, China, Corea del Sur y Francia en generacin de spam a nivel mundial en el ao 2006, pero mientras los tres primeros estn reduciendo sus niveles de emisin, Espaa ha duplicado el volumen de spam generado en menos de un ao. Para Hispasec, los resultados en Espaa son mucho ms desalentadores que los de otros pases, si se tienen en cuenta indicadores como el nmero de habitantes o el nmero de conexiones de Internet con banda ancha por habitante, situndose de esta forma tan slo por detrs de Corea del Sur. Los resultados ms destacables son: 1. Corea del Sur, con unos 44 millones de habitantes, enva un 0,1431% de spam por milln de habitantes. 2. Espaa, tambin con unos 44 millones, enva un 0,1318% de spam por milln de habitantes. 3. Polonia con 38,5 millones de habitantes, enva un 0,1246% de spam por milln de habitantes. 4. Francia, con unos 63 millones, enva un 0,1000% por milln de habitantes. 6.1 Situacin del spam en Espaa: resultados cuantitativos de la red de sensores de spam de INTECO

Los datos primarios de resultados para Espaa provienen de la red de sensores antispam de INTECO. Este anlisis supone una de las primeras iniciativas nacionales en cuanto al estudio estadstico sobre datos del volumen de correo electrnico no deseado. La informacin es proporcionada por diversos sensores situados en servidores de correos de pymes y usuarios. Se trata de una informacin muy amplia que abarca el nmero de mensajes procesados, el spam detectado, los mensajes rechazados y los mtodos por los cuales un correo electrnico es identificado como spam. Un anlisis posterior permite conocer el pas de origen del mensaje, la organizacin remitente o el dominio, entre otros. Los resultados extrados de la red de sensores evidencian la fortaleza del fenmeno
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 76 de 165

Instituto Nacional de Tecnologas de la Comunicacin

global del spam, as como una tendencia similar a la que ya se ha producido en otros pases, como EE.UU. La informacin proporcionada por los diversos sensores, situados en servidores de correos de pymes y usuarios, se trata de informacin muy amplia, que recoge: 6.1.1 Nmero de mensajes procesados: todos los mensajes recibidos, spam o no. Spam detectado: nmero total de mensajes que se consideran spam. Mensajes rechazados: spam descartado automticamente.

Anlisis descriptivo por categoras

Para el anlisis de referencia se han tomado los datos correspondiente al periodo ms actual, comprendido entre el 1 de enero el 11 de marzo de 2008, un total de 10 semanas. El volumen de correos procesados, detectados y rechazados se presenta en la Tabla 6 y el Grfico 11.
Tabla 6: Spam en Espaa (del 1 de enero al 11 de marzo de 2008) Correos Totales Porcentaje

Muestra (procesados) Spam detectado

91.582.112 77.441.839 84,6%


Fuente: INTECO

Como se observa en el grfico, de los ms de 91 millones de correos procesados en la muestra por los sensores, 77,4 millones fueron considerados spam, lo que corresponde al 84,6% del total de mensajes.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 77 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 11: Spam en Espaa (%, del 1 de enero al 11 de marzo de 2008)

15,4%

84,6%

Spam Correo legtimo

Fuente: INTECO

Del total de mensajes detectados como spam en la muestra de los sensores (77 millones), fueron rechazados casi 52 millones, un 67,1%, y nunca llegaron al usuario como se muestra en la Tabla 7.
Tabla 7: Porcentaje del spam detectado (del 1 de enero al 11 de marzo de 2008) 58 Correos Totales Porcentaje

Spam detectado Spam rechazado Spam no rechazado

77.441.839 51.999.472 25.442.367 67,1% 32,9%


Fuente: INTECO

El resto, otros 25 millones aproximadamente (32,9%), se consideran spam y, sin embargo, terminan en el buzn de correo electrnico del usuario. Esto se debe a que, segn las polticas de filtrado que los administradores imponen, se puede filtrar todo el spam o slo

58

Mensajes procesados: todos los mensajes recibidos, spam o no.

Spam detectado: nmero total de mensajes que se consideran spam. Spam rechazado: spam descartado automticamente. Spam no rechazado: spam que ha atravesado los filtros.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 78 de 165

Instituto Nacional de Tecnologas de la Comunicacin

una parte, en funcin de unos parmetros seleccionados previamente. Todo esto dado que puede darse el caso de que no se deseen filtrar los correos para que no se pierda ningn correo legtimo y se produzca un caso de falso positivo.
Grfico 12: Porcentaje del spam rechazado y no rechazado sobre el total de spam (%, del 1 de enero al 11 de marzo de 2008)

67,1% 32,9%

Spam rechazado Spam no rechazado

Fuente: INTECO

6.1.2

Pases emisores de spam con dirigidos a Espaa

En el Grfico 13 se muestra el volumen acumulado del correo procesado, detectado y rechazado por la red de sensores de INTECO de los 10 pases que ms spam enviaron a Espaa en el periodo muestral. Esta misma informacin se presenta en trminos porcentuales en el Grfico 14. En ambos grficos se aprecia claramente que el origen del spam destinado a Espaa se encuentra mayoritariamente en Estados Unidos, China, Corea del Sur y Rusia. Entre estos cuatro pases envan a Espaa ms del 50,0% del total de mensajes no deseados en circulacin. En el Grfico 14 se muestra el porcentaje de spam detectado sobre el total de correos procesados para cada uno de los 10 pases que mayor volumen de spam envan a Espaa. A diferencia de la situacin internacional, en el caso del spam recibido en Espaa, Rusia ocupa un lugar destacado.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 79 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Grfico 13: Volmenes absolutos de spam con destino Espaa por pas de origen (muestra en millones de correos, del 1 de enero al 11 de marzo de 2008)
5 4 3 2 1 0
U ia Es pa a le a op .C hi na Tu rq u a Fr an ci a EE U nt in a Su r om bi Ru s Ch i

4,4 3,9

2,7 2,4

2,4 2,4

2,3 2,0

1,6 1,5

1,5 1,2

1,3 1,2

1,3 1,2

1,1 1,0

de l

Ar ge

Re p. P

Co re a

Correos Procesados

Spam Detectado

Co l

Fuente: INTECO

Grfico 14: 10 pases con mayor volumen de spam enviado hacia Espaa (%, del 1 de enero al 11 de marzo de 2008)

6% 7%

5% 21%

7%

EEUU Rep. Pop. China Corea del Sur Rusia Argentina Espaa Turqua Colom bia Chile Francia

8%

14%

8% 12% 12%

Fuente: INTECO

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 80 de 165

1,0 1,0

Instituto Nacional de Tecnologas de la Comunicacin

Un aspecto interesante es que existe spam originado precisamente en Espaa (8,0%), as como mensajes no deseados procedentes de pases de habla hispana como Argentina o Colombia. Estos resultados tienen su razn de ser en el progresivo aumento de las mquinas comprometidas en estos pases a travs de redes botnets y en las estrategias de los spammers de enfocar sus ataques a nuevos usuarios sin mucho conocimiento sobre el fenmeno. En este sentido, los pases cuya relacin entre el volumen de spam que envan hacia Espaa es mayor respecto al volumen total de correos son Corea del Sur (96,6%), Colombia (95,7%) y Chile (94,7%). Es importante sealar que en la lista de pases con mayor relacin entre el spam y el total de correos enviados, todos superan ms del 75,0% de spam.
Grfico 15: Porcentaje de spam detectado sobre el total de mensajes procesados para cada pas de origen (%, del 1 de enero al 11 de marzo de 2008)

Corea del Sur Colombia Chile Argentina Francia Rusia Rep. Pop. China EEUU Turqua Espaa

96,6% 95,7% 94,7% 93,6% 91,6% 90,1% 89,6% 89,4% 86,7% 79,3%

Fuente: INTECO

6.1.3

Evolucin temporal del volumen de spam

El objetivo de este anlisis es la bsqueda de patrones de comportamiento temporal (diarios, semanales, mensuales) que permitan predecir el volumen de spam y adoptar las medidas de proteccin adecuadas. Se ha realizado un anlisis estacional de la serie con el objetivo de identificar la posible existencia de un patrn semanal en la serie de correos detectados. En el Grfico 16 se representa, para cada uno de los siete das de la semana, el nmero medio de correos (lnea roja) y los datos de cada da en las distintas semanas (lneas azules). Se puede

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 81 de 165

Instituto Nacional de Tecnologas de la Comunicacin

apreciar que las medias son muy similares, por lo que cabra concluir que el patrn para cada da de la semana es muy similar a lo largo del periodo de estudio, aunque jueves y viernes parecen ser los das en que hay un mayor trfico de correo no deseado. Para comprobar estadsticamente la hiptesis de igualdad entre el volumen medio de spam detectado los distintos das de la semana, se realiza un anlisis de la varianza 59 en el que se concluye que no existe en la muestra evidencia de que las medias para cada uno de los das sean significativamente distintas.
Grfico 16: Niveles de spam detectado por da de la semana para el periodo de estudio (del 1 de enero al 11 de marzo de 2008)

Fuente: INTECO

Anlisis de la Varianza (ANOVA): tcnica estadstica que compara si los valores de un determinado grupo de datos son significativamente distintos a los de otro u otros grupos. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 82 de 165

59

Instituto Nacional de Tecnologas de la Comunicacin

7 RESULTADO CUALITATIVO: POSICIONAMIENTO PAPEL ACTUAL DE LOS AGENTES


7.1 Introduccin

En este captulo se exponen los resultados correspondientes al anlisis cualitativo llevado a cabo durante la fase de investigacin del estudio. Partiendo de la fase de documentacin y generacin de resultados, se analiza la problemtica del spam en los cuarenta agentes entrevistados. A continuacin, se resean las medidas de proteccin ms utilizadas y el impacto que para las organizaciones y sus procesos tiene el correo electrnico no deseado. El denominador comn en todas las entrevistas realizadas ha sido la concienciacin de todas las organizaciones frente al spam. Este hecho ha facilitado que las entrevistas hayan ganado en profundidad y que, al mismo tiempo, hayan podido ser tratados todos los aspectos que en la actualidad se interrelacionan en el tema del spam. Los avanzados conocimientos tcnicos y organizativos de los entrevistados han permitido mantener un enfoque global del problema y, lo que es ms importante, afianzar la necesidad de llevar a cabo medidas de proteccin integrales frente al spam. 7.2 Los agentes

El correo electrnico no deseado es un problema que afecta a usuarios particulares, empresas, instituciones y organismos pblicos. En este sentido, se han realizado cuarenta entrevistas a agentes pertenecientes a los distintos sectores, prestando especial atencin a los organismos pblicos, en los mbitos local, provincial y estatal, y a las empresas de comercio electrnico con el fin de completar la informacin que permita evaluar la situacin del correo no deseado en Espaa. El procedimiento de anlisis ha partido de la identificacin del perfil de los agentes, pertenecientes a los diferentes sectores involucrados en el fenmeno del spam, que se relacionan a continuacin: PERFIL 1. Administracin Pblica o Organismos pblicos en los mbitos estatal, provincial y local.

PERFIL 2. Empresas de telecomunicaciones o Operadores de telecomunicaciones proveedoras de servicios de Internet. y telefona mvil, empresas

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 83 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Asociaciones empresariales, cmaras oficiales de comercio, industria y navegacin y colegios profesionales. Administradores y prestadores de servicios de alojamiento Web, as como proveedores de servicios de correo electrnico.

PERFIL 3. Empresas de marketing electrnico o Empresas de marketing directo y comercio electrnico, incluyendo anunciantes, empresas de venta a distancia, agencias de publicidad, etctera.

PERFIL 4. Empresas prestadoras de servicios de seguridad o o Empresas desarrolladoras de productos y servicios de seguridad. Expertos en seguridad informtica (mbitos tecnolgico y legal).

PERFIL 5. Usuarios finales o Usuarios habituales de correo electrnico.

Con el objetivo de identificar la gran variedad de organizaciones y empresas espaolas se ha pretendido caracterizar cada uno de los agentes por el volumen de usuarios de correo electrnico. As, se entrevistaron agentes en cuyo servicio estaban registrados 1.000 usuarios de correo electrnico y, al mismo tiempo, grandes organizaciones con ms de 70.000 usuarios. Del mismo modo, en cuanto al trfico de correo electrnico manejado, las cifras ascienden a una horquilla entre 50.000 y 500.000 correos diarios, dependiendo de la entidad estudiada. 7.3 Situacin de los agentes implicados

En las siguientes secciones de este apartado se tratarn de manera particular las caractersticas de los perfiles de los distintos agentes identificados. Para cada uno de ellos, y de manera general, se describen las particularidades de su sistema de informacin y, en concreto, de su servicio de correo electrnico. 7.3.1 Perfil 1. Administracin Pblica

Los sistemas de informacin de las administraciones pblicas se ven afectados en gran medida por el problema del spam, pues en general ofrecen a los ciudadanos servicios online como pieza clave en la emergente Sociedad de la Informacin. Los organismos pblicos suelen gestionar el correo de manera interna; tanto los equipos como los registros y bases de datos se encuentran en la sede de la

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 84 de 165

Instituto Nacional de Tecnologas de la Comunicacin

organizacin. En cuanto al personal encargado de dicha gestin, se trata habitualmente de tcnicos pertenecientes a la propia Administracin, aunque existe un nmero muy significativo de personal subcontratado. Esto no es una caracterstica exclusiva del servicio de correo electrnico y suele corresponderse con la forma habitual de gestionar los sistemas en organizaciones de gran tamao. En universidades y otros organismos pblicos existen polticas de utilizacin del correo electrnico y otras herramientas y aplicaciones informticas y de telecomunicaciones. Es una buena prctica, recomendable y extrapolable a otras organizaciones, para evitar problemas y litigios de utilizacin del correo electrnico en el mbito laboral (tamao del buzn, va de acceso, soluciones ineficientes ante el spam, etctera). En cuanto a los aspectos tcnicos, los servidores de correo utilizados en las administraciones pblicas se basan principalmente en el sistema operativo Unix (Postfix 60 es una de las aplicaciones de correo ms utilizadas), aunque tambin estn extendidas las soluciones de Microsoft. Estos sistemas permiten la descarga del correo a travs de protocolos estandarizados como POP3 e IMAP o sus versiones seguras, y la mayora dispone de correo web. Para este perfil, los volmenes de usuarios del servicio son muy dispares por la propia naturaleza de cada organismo considerado, pero se cifra entre los 5.000 usuarios para los ms reducidos y los 40.000 para los de mayor volumen, como es el caso de ministerios y universidades. 7.3.2 Perfil 2. Empresas de telecomunicaciones

Dentro de este perfil, se han analizado empresas espaolas cuyos objetivos de negocio tienen relacin con las telecomunicaciones, la telefona mvil, los servicios de Internet o el comercio electrnico. Entre estas ltimas se encuentran empresas de software, prestadoras de servicios tecnolgicos y entidades financieras espaolas con una parte muy significativa de su negocio basado en tecnologas online. La organizacin del sistema de informacin de las empresas pertenecientes a este perfil depende de manera directa del volumen de la entidad. As, las pequeas empresas suelen subcontratar los servicios de correo electrnico, al no disponer de personal para la gestin del sistema. Por otro lado, la mayora de las organizaciones de mediano y gran tamao suelen gestionar de manera interna tanto su sistema de informacin como su servicio de correo electrnico. Entre estas ltimas es necesario realizar la salvedad, las empresas multinacionales, pues en estos casos el sistema de informacin y el servicio de correo electrnico suele ser gestionados de manera centralizada para todas

60

Postfix es un software de uso extendido que implementa una estafeta de correo electrnico (http://www.postfix.org). Pgina 85 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

las delegaciones, generalmente de manera externa. Estas empresas, adems de disponer de servicios de correo electrnico para sus empleados, en ocasiones lo ofrecen a sus clientes, con una separacin entre las arquitecturas que implementan unos y otros. El acceso al correo electrnico puede realizarse a travs de los protocolos convencionales (IMAP y POP3) y en la mayora de los casos se dispone de un acceso web para la consulta del correo mediante navegadores convencionales. Es tambin destacable cmo, en la gran mayora de estas organizaciones, se encuentran en funcionamiento protocolos de descarga del correo electrnico mvil, aunque en algunas este servicio posee un nmero reducido de usuarios o se encuentra en funcionamiento de manera experimental. Estas entidades disponen de clientes de correo electrnico del tipo push-mail que permiten la recepcin inmediata de correo electrnico en el dispositivo mvil; los sistemas empleados son Blackberry, DirectPush o Real Mail. Se pone de manifiesto una maduracin importante en cuanto a la concienciacin sobre la necesidad de proteccin frente al spam, teniendo ya un bagaje importante en la lucha contra l y evolucionando hacia unas soluciones cada vez ms eficientes. 7.3.3 Perfil 3. Empresas de marketing electrnico

Las empresas de marketing electrnico utilizan el correo para llegar a un amplio nmero de destinatarios. En esta caracterstica coinciden con los objetivos de los spammers, pero las diferencias existentes entre ellos son evidentes: Cumplen con la legislacin vigente referente a su modelo de negocio. Poseen cdigos ticos sobre las informaciones que envan. Trabajan de manera principal con marketing de fidelizacin. Establecen controles para determinar la efectividad de los envos realizados. Respetan los derechos de los destinatarios de los correos. Este modelo de negocio est creciendo en Espaa en los ltimos aos. Segn los expertos consultados, el volumen de correos que envan estas empresas alcanza una media de 1.000.000 de mensajes diarios, que pueden ser enviados directamente por las empresas de marketing (como un servicio completo) o ponerse a disposicin de los clientes aplicativos para que sean ellos mismos los que controlen el envo. En cualquier caso, estas empresas son conscientes de que la reduccin del problema del spam ser beneficiosa para el desarrollo de su propio negocio. Por esta razn, entienden que se debe contribuir activamente en la lucha frente al correo electrnico no
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 86 de 165

Instituto Nacional de Tecnologas de la Comunicacin

deseado y la reduccin de su impacto, fomentando la divulgacin de su modelo de negocio entre los usuarios de correo y transmitiendo las diferencias que presenta frente al spam. El modelo de negocio del marketing electrnico est en constante expansin en todo el mundo y evoluciona dentro de la Sociedad de la Informacin creando un interesante mercado publicitario que permite generar valor. La evolucin del modelo en Espaa tiene an un largo camino que recorrer; es necesaria una mayor concienciacin por parte de todos los agentes involucrados, principalmente usuarios, acerca de las claras diferencias existentes entre el marketing electrnico y el spam. 7.3.4 Perfil 4. Empresas prestadoras de servicios de seguridad

En Espaa el correo electrnico no deseado afecta a muchos agentes de la Sociedad de la Informacin, y la prevencin, proteccin y reduccin de su impacto es fundamental para el desarrollo de muchas organizaciones. Por ello, los expertos y empresas que ofrecen servicios de seguridad juegan un papel muy importante en este contexto. En un primer momento las empresas prestadoras de servicios de seguridad proporcionaron medidas reactivas de proteccin frente al spam: una vez que el correo no deseado se encontraba almacenado en los buzones de los usuarios, se le aplicaban filtros para detectarlo. Estas protecciones, basadas en patrones o en heursticas 61 , complementaban a otras, como antivirus o antispyware, y eran suficientes cuando la dimensin del problema era reducida. Pero el volumen de correo no deseado ha alcanzado porcentajes muy importantes que han provocado problemas de saturacin en las redes internas de las organizaciones y en sus sistemas informticos, Por lo que se ha hecho indispensable combatir el problema con anterioridad al almacenamiento del spam en los buzones de los usuarios. En un principio las medidas que se plantearon eran principalmente de carcter reactivo. A medida que el problema fue aumentando, a comienzos del ao 2004, las protecciones iban tomando carcter reactivo y proactivo, para servidores y clientes de correo. 7.3.5 Perfil 5. Usuarios

El fenmeno del spam es conocido y percibido por la inmensa mayora de los usuarios de correo electrnico. Los datos as lo confirman: el 64,2% de los usuarios habituales de Internet lo ha sufrido en la ltima semana y un 87,2%, en el ltimo ao 62 , siendo la incidencia que ms frecuentemente afirman sufrir. Este hecho pone de manifiesto la

61

Los algoritmos heursticos tienen la capacidad de realizar innovaciones en su funcionamiento para alcanzar sus objetivos.

62

INTECO (2008) Estudio sobre la Seguridad de la Informacin y e-Confianza de los hogares espaoles (2 Oleada: Feb-Abr 07) (Disponible en http://observatorio.inteco.es) Pgina 87 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

dimensin del problema, pues todos los usuarios entrevistados han recibido correos de este tipo y habitualmente necesitan manejarlo dentro de sus buzones de correo. Sin embargo, y a pesar de la comentada familiarizacin de los usuarios con el spam, se han podido identificar en ellos ciertas deficiencias en cuanto a la identificacin de las causas que lo provocan, los problemas que puede provocar y, lo que es ms importante, las pautas a seguir para evitarlo y reducirlo. Es necesario resaltar en este sentido el importante esfuerzo llevado a cabo por distintos organismos pblicos (Agencia Espaola de Proteccin de Datos AEPD y agencias autonmicas, Instituto Nacional de Tecnologas de la Comunicacin INTECO, Red.es, Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin, etctera) 63 , cuyas iniciativas se centran en la promocin, formacin y concienciacin de los usuarios frente a las amenazas de seguridad en Internet. Ejemplo de ello son las campaas contra el fraude online y por la seguridad en la Red promovidas por INTECO o las guas de lucha contra el spam que pone a disposicin la AEPD. 7.3.6 Medidas de proteccin frente al spam

Antes de entrar a analizar qu medidas han sido implantadas por los distintos agentes, y para conocer qu posibilidades existen, se explican detalladamente las distintas herramientas y acciones disponibles para combatir el spam. Los agentes estudiados disponen en todos los casos de medidas de seguridad para la proteccin frente al correo electrnico no deseado. Abarcan desde las medidas de ndole tcnico (las ms utilizadas) hasta las organizativas y de carcter normativo. Las ms significativas son las medidas de proteccin tcnica frente al spam, Se mecanismos software o hardware que pretenden proteger el sistema de informacin frente a las diferentes formas de spam existentes. En funcin de su objetivo de proteccin, se pueden clasificarse en: 1. Preventivas: tienen por objeto evitar que puedan realizarse el envo de correo spam. 2. Reactivas: son aplicadas una vez que el spam ya ha llegado a los servidores de correo de los destinatarios y tienen por objeto su filtrado. 3. Proactivas: tienen por objeto evitar que los servidores de spam puedan llegar a comunicarse con los servidores de correo de los destinatarios.

63

AEPD: https://www.agpd.es

RED.es: http://www.red.es/ Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 88 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Medidas preventivas De forma general, la mayora de las medidas preventivas se centran en aspectos legislativos y de formacin. En cuanto a las soluciones tecnolgicas, se sealan principalmente las relativas a la configuracin adecuada de las aplicaciones o servicios. Se aconseja, por ejemplo: 1. Eliminar la previsualizacin de los clientes de correos, sobre todo la de contenido HTML, evitando que sea explotada por los spammers con correos que incorporen HTML con imgenes y cdigo script. 2. Configurar correctamente los proveedores de servicio de Internet (en especial servidores de correos), evitando la conexin y envo de correo a terceras partes no autorizadas (open relay). 3. Configurar las trazas y sistemas de registro de eventos en los proveedores de servicios de Internet. Por otra parte, es esencial el enmascaramiento de las direcciones de correo para protegerse contra el software que de forma automatizada y exhaustiva busca direcciones en los sitios web. De esta manera, se utilizan diversas tcnicas para ocultar la direccin real. Una de las ms sencillas consiste en modificar el texto donde aparece la direccin de correo (por ejemplo, sustituyendo el smbolo "@" por su nombre en ingls, at, y el punto por dot: cuentaATsubdominioDOTdominio). Evidentemente, esta tcnica es muy dbil y su utilidad qued limitada cuando fue descubierta e incluida en la bsqueda del software tipo harvesting. Actualmente se utilizan tcnicas de enmascaramiento mucho ms sofisticadas, incluyendo cdigo de programacin Javascript en el texto de enlace de tipo mailto:, que pueda ser interpretado por el navegador, pero que es mucho ms difcil de descubrir por bsqueda automtica. Un ejemplo sera incluir en lugar del correo del usuario el siguiente cdigo script: <script TYPE="text/javascript"> <!-emailE=('us' + 'uario' + '@' + 'domi' + 'nio') document.write('<a href="mailto:' + emailE + '">' + emailE + '</a>') //--> </script> Medidas reactivas Se trata de las salvaguardas ms representativas de las herramientas antispam. Se basan en el anlisis del correo, que clasifican como "posible spam detectado", "spam rechazado" o "no spam aceptado". Actualmente, existen diferentes herramientas de
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 89 de 165

Instituto Nacional de Tecnologas de la Comunicacin

filtrado, diferenciadas segn la tcnica de filtrado, la ubicacin de la herramienta o la accin del usuario en el anlisis del spam. 1. Tcnicas de filtrado en los antispam a. Filtrado simple por contenido: formado casi siempre por cadenas de caracteres y datos que puedan encontrarse en el remite, el tema, el cuerpo del mensaje, etctera. Las herramientas que utilizan esta tcnica marcan como spam aquellos mensajes que contengan alguna palabra clave (por ejemplo, "viagra", "sexo"), perteneciente una lista previamente especificada. Obviamente, no es una solucin completa, pues marcar como spam multitud de correos legtimos que hagan uso de alguna de las palabras clave. Adems, este sistema es fcilmente evitable, pues basta con insertar separadores, modificaciones tipogrficas, etctera para que la bsqueda de palabras clave falle. b. Filtrado basado en tcnicas de clasificacin: consiste en identificar los correos segn dos tipos: "spam rechazado" o "aceptado". Los primeros suelen ser generalmente filtrados o marcados como tal, mientras que los segundos pasarn a la bandeja de entrada del remitente. Pueden usar diversas estrategias: i. Reputacin: basada en la valoracin que dan los usuarios de un nmero importante de correos. Es muy comn en servidores de correo online que poseen una gran masa de usuarios, como Gmail, Yahoo o Hotmail. ii. Redes bayesianas 64 : sistema adaptativo de clasificacin que se utiliza para determinar los grupos de correos spam, como correo legtimo. Es una de las tcnicas de clasificacin ms usadas. Su sistema de entrenamiento puede estar supervisado manualmente con la ayuda de los usuarios (utilizando las tcnicas de reputacin antes mencionadas) o con un grupo de entrenamiento basado en correos tipo 65 . 2. Ubicacin de los antispam

64

Las tcnicas de inteligencia artificial fueron aplicadas por primera vez al problema del spam en 1998 por Mehran Sahami. Desde entonces se ha convertido, probablemente, en el enfoque ms utilizado y eficaz.

Una amplia cantidad de software, tanto dirigido a administradores como al usuario final, implementa filtros bayesianos como parte de sus medidas antispam. Entre los primeros destacan BogoFilter, DSPAM o SpamAssasin,y entre los clientes de correo, Mozilla, Thunderbird y Microsoft Outlook. Un grupo de entrenamiento basado en correos tipo consiste en un conjunto amplio de ejemplos de correos reconocidos como spam. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 90 de 165

65

Instituto Nacional de Tecnologas de la Comunicacin

a. En clientes: filtros ubicados en la aplicacin cliente de correo. Generalmente son filtros de contenido donde las palabras clave las establece el cliente. Estos filtros solucionan lo que ms interesa al usuario final: no ver spam. Desde este punto de vista, son bastante eficientes. Adems, son muy aceptados, pues trasladan al usuario la decisin de configurar sus propios filtros y es l quien marca lo que considera o no spam. En cambio, no solucionan la recepcin de spam, que sigue llegando al buzn de su servidor. b. En servidores: generalmente, son filtros de contenidos bajo el control del administrador del sistema. Solucionan los mismos problemas que los de cliente, pero adems evitan que el spam llegue al buzn de los usuarios. Sin embargo, estos ltimos en ocasiones sealan el inconveniente de dejar en manos de los responsables del servicio la determinacin de los patrones de filtrado del spam. 3. Clasificacin del antispam segn accin del usuario a. Interactivos: el sistema seala y enumera posibles correos spam y queda a la espera de que el receptor decida si lo son o no y establezca polticas al respecto. Su inconveniente es el tiempo de demora del receptor en revisar y clasificar los correos, cuando a diario se reciben grandes cantidades. La mayora de los clientes de correo incluye este tipo de filtro antispam. b. No interactivos. El propio sistema elige y elimina los correos que considera spam. El mayor inconveniente de esta solucin es que el software antispam todava genera muchos falsos positivos, interfiriendo as en el envo o recepcin de correos legtimos. Adems, como sucede con los antivirus, las herramientas ms potentes son ms costosas.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 91 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Medidas proactivas 1. Listas negras: se consideradas una medida proactiva porque su implantacin se realiza antes de que el correo llegue a los servidores, con el conocimiento previo de posibles fuentes de spam. Consisten en un conjunto de bases de datos online que pueden ser consultadas en tiempo real por los servidores de correo electrnico en cada transaccin, para obtener una valoracin (en trminos de confianza) sobre un mensaje de correo entrante. En especial, estas listas disponen de valoracin sobre el servidor de correo o el proveedor de servicios de Internet (ISP) que origin el mensaje y la posibilidad de que se trate de un servidor de correo malicioso. Estas listas negras son mantenidas generalmente por organizaciones independientes, como por ejemplo la lista llamada ZEN, de SpamHaus, que combina: a. Una lista de direcciones IP fuente de spam confirmadas, SBL (Spam Block List). 66 b. Una lista de direcciones IP de equipos posiblemente comprometidos por contener vulnerabilidades, XBL (Exploits Block List) 67 . c. Una lista de direcciones IP de usuarios finales que no deben enviar correo directamente si no es a travs de su ISP, PBL (Policy Block List) 68 . Tienen muchos inconvenientes, entre ellos, los casos en los que dominios lcitos se ven incluidos en las bases de datos por la accin de ciertos spammers que pretenden desacreditarlos, perjudicando as el flujo de sus correos legtimos o incluso implicando un problema legal 69 . Por otra parte, estas listas son accedidas muy frecuentemente y, por lo tanto, se convierten en un cuello de botella que deriva en un ms lento procesamiento del correo.

Una lista de direcciones IP de equipos que han sido confirmados como generadores de correos spam. Esta lista se denomina lista de bloqueo de spam, SBL (del ingls, Spam Block List). Una lista de direcciones IP de equipos potencialmente generadores de spam por presentar vulnerabilidades en su configuracin. Esta lista se denomina lista de bloqueo de vulnerabilidades, XBL (del ingls Exploits Block List). Una lista de direcciones IP de equipos, pertenecientes a usuarios finales, que no pueden enviar correo directamente, sino que tienen que hacerlo a travs de un Proveedor de servicios de Internet (ISP). Esta lista se denomina lista de bloqueo por poltica, PBL (del ingles Policy Block List).
69 68 67

66

En este sentido, pueden darse situaciones paradjicas, como una reciente sentencia en EE.UU. que condenaba a SpamHaus a pagar ms de 11 millones de dlares, a e360insight, una compaa radicada en Gran Bretaa, por incluirla en una de sus listas. La sentencia no es del todo acertada puesto que las organizaciones que gestionan estas listas no bloquean ningn correo, ni tienen la capacidad tcnica ni jurdica para hacerlo. Son los abonados a las listas quienes, por voluntad propia, deciden desechar el correo proveniente de estos dominios o servidores. Pgina 92 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

2. Listas blancas: el enfoque es el contrario al de las listas negras, su objetivo es contrarrestar los efectos perjudiciales de los posibles falsos positivos. Una lista blanca es una relacin de direcciones de correo confiables cuyos envos no deberan ser considerados spam, es decir, se asume que todo correo es spam a no ser que sea enviado por un remitente incluido en la lista blanca. Estas listas tienen el claro inconveniente de que, en principio, bloquearn, o al menos marcarn como spam, todo aquellos correos remitidos por un nuevo contacto. Por lo tanto, slo resultar de inters para usuarios finales o corporaciones, pero no para proveedores de servicio, que deben atender multitud de correos electrnicos en principio desconocidos y a los que sera imposible aplicar una lista blanca. 3. Listas grises 70 : aparecen como una medida paralela a las dos anteriores que intentan evitar que se marquen como servidores originarios de spam a servidores legtimos (problema de las listas negras). Su funcionamiento se basa en aprovechar la falta de insistencia de los servidores de correo spam: los servidores que emplean greylisting simulan una cada temporal del servicio y solicitan el reenvo posterior del correo en cuestin. Los servidores spam estn centrados en el envo masivo de correos no deseados y, por lo tanto, suelen desechar los mensajes de reenvo. De esta manera, el servidor legtimo que aplique esta tcnica podr confeccionar una lista gris con esos servidores.Sin embargo, la lista gris se considera una lista de servidores sobre los cuales no se tiene una certeza absoluta de que sean fuentes confiables. Por un lado, pueden ser servidores lcitos cuya configuracin no sea la ms adecuada; por otro, las tcnicas de los spammers pueden tratar de sortear esta medida, con el coste de desarrollo y de sobrecarga correspondiente. En una lectura positiva, esto puede verse como una ventaja ante el despliegue del spam, al acotar cada vez ms las facilidades para su generacin (bajo coste y sencillez tcnica). Visto desde el servidor destino, las listas grises tienen un gran inconveniente que las hace poco aceptadas: el tiempo de latencia, que trascurre entre el envo y la recepcin del correo, repercute en la transmisin del mensaje. El correo se ha convertido en una herramienta de trabajo y muchas veces los usuarios estn a la espera de su llegada, por lo que un retardo en su recepcin puede ser muy costoso para las empresas y negocios que utilizan esta va. Por eso, las listas grises son una solucin interesante, pero que debe

http://www.greylisting.org/. Las listas grises estn implementadas por SpamAssasin y han sido adoptadas tambin en SendMail (http://www.sendmail.org), que ha ido cediendo terreno frente a Postfix, debido principalmente a la sencillez de uso de este ltimo. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 93 de 165

70

Instituto Nacional de Tecnologas de la Comunicacin

usarse con especial cuidado y adaptarse a los tipos de cuentas que manipule el servidor. 4. Implementacin de nuevos protocolos estandarizados: como se ha mencionado, una de las carencias ms significativas en la implementacin de los sistemas de correo electrnico es la falta de autenticacin de la identidad de los remitentes, circunstancia que facilita, en buena medida, la proliferacin del fenmeno del spam. El uso de tcnicas criptogrficas que aseguren la autenticidad del remitente puede ayudar a reducirlo; herramientas de firmas digitales con claves pblicas del tipo PGP o S-MIME (Secure/Multipurpose Internet Mail Extensions, extensiones de correo de Internet de propsitos mltiples/seguros), entre otras, pueden ser muy tiles en este sentido. Sin embargo, la expansin de esta prctica a nivel global es difcil, por la propia dificultad de extender los sistemas de criptografa de clave pblica a gran escala. A raz de esto, se comenzaron a desarrollar mecanismos para determinar qu pasarelas de correo son las que deberan enviar mensajes asociados a un determinado dominio de correo. El objetivo de estos sistemas es que los administradores de un dominio concreto puedan establecer qu servidores de correo estn autorizados para enviar correo desde el mismo. En este sentido, son de especial relevancia los siguientes protocolos estandarizados: SPF (Sender Policy Framework o convenio de remitentes, RFC 4408): extensin del estndar SMTP creado por IETF (The Internet Engineering Task Force) que permite identificar direcciones de correo falsificadas a travs de su dominio; la identificacin en el comando mail from (cabecera Return-Path) permite clasificar el correo como posible spam. Aunque este tipo de solucin no acabara por completo con el problema del spam, s puede ayudar a determinar si el dominio de un correo ha sido falseado, y la falsificacin puede ser indicativa del intento de envo de spam. A su vez, esto permitira asociar el spam a una serie de dominios concretos y facilitar la capacidad de reportar el incidente y de intervenir en contra del responsable administrativo del dominio, los servidores de correo o el proveedor de acceso a Internet que le proporciona la conectividad. DKIM (Domain Keys identified Mails o correos identificados por clave de dominio): propuesta que intenta ofrecer autenticacin del remitente original, mejorando algunos problemas de las soluciones del tipo PGP (Pretty Good Privacy) 71 o

PGP: sistema que aplica la criptografa de clave pblica para proteger informacin en movimiento por la Red, por ejemplo en correos electrnicos. Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 94 de 165

71

Instituto Nacional de Tecnologas de la Comunicacin

S/MIME. Se trata de un estndar en desarrollo por parte de la IETF 72 . Es una solucin propuesta por desarrolladores de Yahoo que ha tomado ya dimensiones de estndar y que podra ser aplicado a cualquier solucin, aunque su uso aun es muy reducido. Lo cierto es que no hay una solucin ni exacta ni global para el problema del spam. Se hace necesaria la aplicacin e implicacin de todas las herramientas descritas para combatirlo, con el objeto de reducir su impacto. Las tcnicas de los spammers cambian continuamente a medida que aparecen nuevas estrategias para evitarlo, es un fenmeno en constante desarrollo que requiere de una atencin y dedicacin continua. A continuacin se describen los aspectos ms representativos de la aplicacin de las tcnicas de proteccin contra el spam por parte de los distintos agentes entrevistados: 1. Las medidas de proteccin reactivas son las utilizadas. Su aplicacin reduce el impacto del spam en las organizaciones mediante filtros que determinan su eliminacin, marcado, redireccin, puesta en cuarentena, etctera. Esta tcnica particular puede ser empleada en los clientes de correo de los usuarios y en los servidores de correo de la organizacin. Esta ltima ubicacin de las herramientas de proteccin es la ms recurrida, principalmente porque tiene efectos sobre la totalidad del correo manejado por la organizacin. Dentro de este grupo de tcnicas, cabe hacer alguna apreciacin sobre la tcnica a travs de la cual se realiza el filtrado. As, y aunque tradicionalmente estas medidas se basaban en el anlisis del contenido del correo spam, la mayora de las herramientas implantadas en los agentes se centran en algoritmos de clasificacin, que clasifican los correos recibidos dependiendo de su probabilidad de ser o no ser spam. 2. Es habitual la utilizacin de listas de filtrado blancas, negras, o grises. Se trata de mecanismos de seguridad proactivos, que pretenden evitar que los servidores de correo que emiten spam puedan comunicarse con servidores legtimos. En los agentes consultados se ha constatado la utilizacin de listas negras como complemento de otras protecciones antispam, ya que son muy tiles para la deteccin de servidores que envan habitualmente correos no deseados. 3. Aumentando la complejidad de las tcnicas de proteccin, se ha identificado tambin la utilizacin de productos completos de hardware y software, denominados appliance, que implementan un sistema antispam (el coste

72

RFC 4871, 5016 http://www.ietf.org/rfc/rfc4871.txt. Pgina 95 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

econmico de estas soluciones est por encima de las soluciones software ms comunes). Su objetivo primordial es la reduccin del spam de manera proactiva, es decir, sin que llegue a almacenarse en los servidores de correo de los usuarios. Su tcnica principal de filtrado es la reputacin, obtenida a partir de la monitorizacin de grandes cantidades de correo, que consigue un alto grado de satisfaccin de los agentes. 4. La extensin del protocolo SMTP, denominada SPF (Sender Policy Framework, Convenio de Remitentes) tambin se encuentra entre los mecanismos de proteccin empleados. Esta tcnica proactiva permite identificar posibles correos spam mediante la revisin de las direcciones de envo de un determinado correo. El protocolo permite, a travs de DNS (Domain Name System), consultar al servidor de correo que presuntamente envi el correo electrnico si ha autorizado o no dicho envo. La tcnica es empleada por muchas empresas de seguridad que proporcionan soluciones antispam, y los porcentajes de filtrado obtenidos son muy interesantes. Sin embargo, es necesario tambin destacar que su aplicacin supone una consulta en tiempo real acerca de la validez de procedencia del correo (lo que podra retrasar la llegada de correo legtimo) y que tambin es necesario que el servidor de DNS del dominio consultado disponga de tal servicio (cuestin que no es general). 5. Una particularidad interesante en cuanto a los servicios antispam empleados por los agentes estudiados es la redireccin del correo para su filtrado. En estas situaciones, la organizacin gestiona su servicio de correo electrnico (empleando personal y equipos en una sede de la misma), mientras que el sistema antispam se ubica en las instalaciones del prestador del servicio. El funcionamiento se basa en reconfigurar en el servidor de DNS de forma adecuada para que el servidor de correo de la prestadora del servicio atienda el correo. As, al recibir correo para la organizacin lo filtra de spam y, una vez limpio, lo enva para su recepcin final. En estas ocasiones, as como en otras en las que el correo de la organizacin va a ser revisado o gestionado por otra empresa, es necesario firmar acuerdos que permitan establecer un marco legal de colaboracin entre las partes para la prestacin del servicio. Es interesante resaltar cmo en ocasiones las organizaciones estudiadas han probado distintas soluciones antispam. Estos cambios venan antecedidos por una insatisfaccin sobre los resultados de filtrado obtenidos, por la existencia de falsos negativos o, lo que es ms preocupante, de falsos positivos.. Por ltimo, y a modo de resumen, cabe destacar que mientras algunas organizaciones consideran que sus soluciones antispam tienen controlado el impacto del correo no
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 96 de 165

Instituto Nacional de Tecnologas de la Comunicacin

deseado de forma satisfactoria en un porcentaje muy importante, existen entidades en las que el problema tiene una influencia diaria y, aunque puede manejarse, genera una insatisfaccin clara respecto a la solucin implantada. 7.4 7.4.1 Proteccin frente al spam de los agentes Perfil 1. Administracin Pblica

Los organismos pblicos entrevistados se encuentran altamente concienciados acerca de la necesidad de establecer medidas preventivas, proactivas y reactivas frente al spam. No en vano, en muchas ocasiones disponen de guas de utilizacin segura del correo electrnico, o incluso guas con recomendaciones especficas para evitar el spam. Todos los organismos realizan una inversin importante en herramientas antispam. La soluciones escogidas pertenecen tanto al mbito comercial como al del software con licencia pblica (en algunos casos particulares se da una combinacin de ambas). La mayora de las instituciones apuestan por las soluciones comerciales reactivas y proactivas proporcionando tambin el producto elegido proteccin frente a cdigos maliciosos (por ejemplo: virus y spyware) difundidos a travs del correo electrnico. En las organizaciones en las que las soluciones antispam utilizadas estn principalmente basadas en productos de software libre existe un inconveniente: su uso pasa por la necesaria actualizacin de los sistemas de informacin que las incorporan, pues pueden verse afectados por spam cuando este se modifica su conducta o patrn de ataque respecto a los patrones de deteccin conocidos. Se hace necesario disponer de personal cualificado que sea capaz de mantener actualizadas en tiempo real estas tecnologas. En las administraciones consultadas se ha constatado, como prctica habitual, la utilizacin de listas negras como complemento de otras protecciones antispam, ya que son muy tiles para la deteccin de servidores que envan habitualmente correo no deseado. Sin embargo, estas listas tambin tienen algunos problemas, pues en ocasiones pueden incluirse en ellas dominios lcitos que han sido intencionadamente atacados por spammers. Una de las listas ms empleadas por los agentes es SpamHaus Block List 73 , aunque su uso no es unnime, pues algunos mantienen que su aportacin es muy limitada. En muchos casos, la utilizacin de listas negras ha venido acompaada de la aparicin de falsos positivos. Las listas blancas pueden ser empleadas de forma excluyente, es decir, aceptando slo el correo proveniente de servidores de correo incluidos en ellas. Sin embargo, en ninguno de los agentes estudiados se emplean de esta forma, pues existe un abanico muy amplio y

73

www.spamhaus.org Pgina 97 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

cambiante de servidores de correo legtimos que pueden ser empleados. El uso de las listas blancas se complementa con otras medidas de proteccin frente al spam, pero no representa una solucin completa al problema. 7.4.2 Perfil 2. Empresas de telecomunicaciones

Las soluciones antispam implantadas en este grupo pueden clasificarse de acuerdo a la siguiente distincin: Por un lado, las empresas de gran volumen de mbito internacional, con gran nmero de clientes y con un nmero tambin muy significativo de empleados, en las que existe un sistema de informacin centralizado que da servicio a todas las delegaciones de la compaa. El servicio de correo electrnico no es una excepcin y tanto los servidores de correo como el personal y los servicios antispam son gestionados de manera centralizada. Por otro, compaas de diverso tamao, desde pymes a grandes empresas, que gestionan por completo su propio sistema de informacin o externalizan algunos servicios. En cuanto al correo electrnico, y debido a la gran importancia que tiene para las organizaciones, las medianas y grandes compaas no lo externalizan y gestionan tanto el equipamiento hardware necesario como el software (aun cuando existen proveedores que ofrecen servicios de este tipo para pymes a bajo coste). Para este grupo de empresas, la gestin de salvaguardas antispam se basa en productos comerciales centrados en la proteccin proactiva y reactiva. La ubicacin de estos servicios se realiza mayoritariamente en los servidores (con independencia de que puedan existir protecciones antispam reactivas en los clientes de correo). Un hecho muy significativo con respecto a la ubicacin de los sistemas antispam empleados por este tipo de empresas es que, aunque pueden estar implantados en los servidores de correo de la empresa o en su sistema de informacin, tambin se han encontrado agentes en los que se sitan fuera de las instalaciones de la organizacin. En estos ltimos, el correo se redirecciona a travs de la empresa prestadora del servicio antispam, quien lo devuelve a la organizacin una vez filtrado. Esta arquitectura remota de filtrado cede el control del correo electrnico a la empresa prestadora del servicio y, por lo tanto, slo puede realizarse cuando existe un nivel de calidad suficiente y bajo un acuerdo contractual que preserve la seguridad de los datos manejados. Aquellas empresas de este perfil en las que se ofrecen servicios de correo electrnico para otras empresas o usuarios suelen complementar la oferta con servicios antispam asociados. La mayora de las soluciones antispam empleadas proceden del mbito comercial, pero tambin hay un nmero significativo de agentes que ofrecen soluciones

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 98 de 165

Instituto Nacional de Tecnologas de la Comunicacin

propietarias o la aplicacin complementaria de distintas soluciones software de licencia GPL (Generic Public Licence). 7.4.3 Perfil 3. Empresas de marketing electrnico

Los mecanismos antispam pueden afectar al envo de correos legtimos por parte de estas compaas y, por esta razn, las empresas de marketing electrnico establecen acuerdos con las grandes empresas de servicios de correo electrnico y con proveedores de servicios de Internet (ISP) para que permitan su envo. A esta facilidad se le denomina listas blancas comerciales, que permiten que los mensajes publicitarios no sean obstaculizados con las protecciones antispam. As mismo, las empresas publicitarias se comprometen a hacer frente a las quejas y reclamaciones de los usuarios. Los controles proactivos sobre el correo electrnico pueden soslayarse. Para manejar los filtros antispam reactivos, estas empresas realizan pruebas sobre los sistemas de proteccin ms utilizados, verificando si los correos que van a enviar son marcados como spam. Si es necesario, realizan adaptaciones que permitan que sus comunicaciones no disparen los filtros. 7.4.4 Perfil 4. Empresas prestadoras de servicios de seguridad

La proteccin frente al spam posee ciertas ventajas frente a otros servicios de seguridad de Internet, pues sus caractersticas permiten que los filtros de los servidores no tengan que estar instalados en la propia organizacin. Esta arquitectura ha sido observada en muchas filiales espaolas de empresas multinacionales, que reciben el correo electrnico una vez filtrado por los sistemas centrales de la compaa, y es tambin un servicio de seguridad ofrecido por compaas del ramo que les permite operar sobre el correo de sus clientes desde sus propias instalaciones, fomentando las economas de escala, reduciendo sus costes directos y ofertando servicios econmicamente competitivos. Otra faceta de proteccin suministrada por las empresas de seguridad es el establecimiento de salvaguardas preventivas centradas en el uso de nuevos protocolos de correo electrnico. De manera general, su intencin es dotar de autenticacin a la comunicacin entre los servidores de correo o a la propia comunicacin asncrona entre el emisor del mensaje y su receptor. Las tcnicas a las que recurren son variadas, pero principalmente se basan en la utilizacin de certificados digitales y en el envo protegido de informacin. Cabe sealar que este tipo de tecnologas precisa de considerables recursos computacionales por parte de los equipos que los implementan, por lo que es necesario adaptar su aplicacin cuando existan terminales mviles de bajo poder en la lectura o envo del correo electrnico.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 99 de 165

Instituto Nacional de Tecnologas de la Comunicacin

7.4.5

Perfil 5. Usuarios

Los usuarios, cada vez ms familiarizados con el problema del correo no deseado, ponen en marcha medidas de proteccin que les permitan mitigar los efectos del spam. La instalacin de programas antispam especficos o la activacin de filtros integrados en los clientes de correo electrnico son las salvaguardas ms comunes. La configuracin adecuada de los productos antispam resulta en muchas ocasiones un inconveniente importante para los usuarios; en este sentido, es necesario que los fabricantes realicen ciertas mejoras. As mismo, se han podido identificar conductas preventivas de los usuarios con mayor capacitacin tcnica: la no facilitacin de la direccin de correo propia en foros descontrolados, la utilizacin de distintas cuentas de correo en funcin del entorno en el que se utilicen o la ocultacin de los destinatarios (Blind Carbon Copy, BCC o Con Copia Oculta, CCO) en correos enviados a mltiples usuarios.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 100 de 165

Instituto Nacional de Tecnologas de la Comunicacin

8 RECOMENDACIONES Y PROPUESTAS
8.1 Tendencias previsibles y propuestas de mejora para las organizaciones y usuarios

Los fundamentos tecnolgicos del spam hacen prever que no podr eliminarse a corto plazo. Es por ello necesario realizar un esfuerzo importante en cuanto a las mejoras de las medidas tcnicas de proteccin, en concienciacin y formacin y tambin normativo para proteger a usuarios y empresas. Todos los sectores afectados por este problema deben conocer la situacin y naturaleza del spam y las polticas que pueden contribuir a reducirlo. Adems, al tratarse de un problema global, es fundamental que las organizaciones sean conscientes de la necesidad de llegar a acuerdos y polticas conjuntas que ofrezcan soluciones de mayor calado y perdurabilidad. El resultado de las entrevistas realizadas y del grupo de trabajo detallan de manera independiente las recomendaciones ms relevantes, estructuradas de la siguiente forma: Recomendaciones normativas. En base al anlisis jurdico de la legislacin espaola, ha sido posible identificar algunas recomendaciones normativas para la Administracin que pueden complementar la difcil regulacin del fenmeno del correo electrnico no deseado en Espaa. Recomendaciones para empresas prestadoras de servicios o Recomendaciones para empresas de marketing electrnico. Su objeto es fomentar la confianza en estas empresas, principalmente mediante el establecimiento de mejoras en su relacin con los destinatarios de las informaciones comerciales. o Recomendaciones para empresas prestadoras de servicios de seguridad. El anlisis ha puesto de manifiesto que existe un sector emergente de soluciones antispam en muchas empresas prestadoras de servicios de seguridad espaolas. Estas recomendaciones pretenden ayudar en la identificacin de necesidades por parte de las empresas y administraciones, as como mejorar los niveles de calidad de estos servicios.

Recomendaciones para usuarios o Recomendaciones para los sistemas de informacin de organizaciones: empresas y Administracin. Su objeto es mejorar el
Pgina 101 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

sistema de informacin (recomendaciones de carcter general) y el servicio de correo electrnico (recomendaciones especficas). El perfil de las empresas presenta muchas similitudes con el de la Administracin en cuanto al marco del spam. Por ello, se agrupa a las administraciones y las empresas en las recomendaciones, dado que las tcnicas enumeradas son igualmente aplicables a los sistemas de informacin y servicios de correo electrnico de unas y otras. o Recomendaciones para los usuarios: Pymes e individuos. Los usuarios son la pieza ms importante para la resolucin del problema del spam. As mismo, se han encontrado deficiencias en la informacin consultada por muchos usuarios. Estas recomendaciones tienen por objeto aumentar su conocimiento frente al fenmeno y dotarles de mecanismos que les permitan evitarlo. 8.2 Recomendaciones de carcter normativo: Administracin

Es justo sealar que el marco jurdico aplicable al fenmeno del correo electrnico no deseado en Espaa se sita a la vanguardia de los regmenes jurdicos comunitarios y, a pesar de lo complicado del tratamiento de dicho fenmeno, refleja en su articulado su decidida conviccin en la proteccin legal de todos los agentes involucrados en el mismo. Pese a lo anterior, para el actual sistema jurdico espaol se han identificado las siguientes recomendaciones de carcter normativo: a) En cuanto a la definicin de comunicacin comercial se podra incluir los nombres de dominio dentro de la definicin de comunicacin comercial, teniendo en cuenta que la funcin secundaria del nombre del dominio puede ser publicitaria (aparecen a menudo en los enlaces a las pginas web). b) En relacin a la falta de definicin de correo electrnico en la LSSICE en particular, y en todo el ordenamiento jurdico en general, as como a la necesaria extensin al mbito comunitario, sera oportuna la inclusin de dicho concepto en la legislacin espaola. c) Respecto a los requisitos que deben contener las comunicaciones comerciales, en concreto la necesidad de incluir al comienzo del mensaje la palabra publicidad, se podra concretar y exigir que el vocablo constara en el campo del mensaje dedicado a su ttulo. d) En cuanto a la obligacin de indicar en las comunicaciones comerciales la persona fsica o jurdica en nombre de la cual se realizan los envos, sera ms ventajoso para las empresas incluir tambin en el mensaje los datos del remitente

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 102 de 165

Instituto Nacional de Tecnologas de la Comunicacin

efectivo, es decir, de los anunciantes, e incluso una direccin vlida y funcional de correo electrnico con el objeto de dar una mayor transparencia al envo y confianza a los destinatarios. e) Por lo referente al envo de comunicaciones comerciales dentro de un proceso contractual, en el que no es necesario obtener el consentimiento por el remitente cuando promocione productos o servicios propios de caractersticas similares a los de la venta, se podra precisar dicha expresin genrica de productos de caractersticas similares, por ejemplo, similares en precio, en destino, en estilo, etctera. f) En materia de infracciones se debera especificar el concepto de envo masivo de comunicaciones comerciales que contiene el artculo 38 LSSICE; es decir, si se incluyen los envos de muchos mensajes a un solo destinatario o de muchos mensajes individualizados a la vez.

g) En cuanto a la proteccin de datos, la LOPD slo es aplicable a las personas fsicas, a diferencia de la LSSICE, que protege tanto a las personas fsicas como jurdicas. Por tanto, sera recomendable ampliar el mbito de proteccin de la LOPD a las personas jurdicas. h) Respecto a la revocacin del consentimiento en la proteccin de datos para la que no es necesaria la concurrencia de una causa justificada, a diferencia de lo que ocurre en la cesin de datos, se recomienda realizar la correspondiente reforma y unificar criterios. i) Si se considera que se ha de proteger al destinatario de las comunicaciones comerciales no solicitadas por el carcter molesto de dichos envos y lo que se trata es de prevenir la multitud de daos que se pueden causar, se hace recomendable plantear la regulacin del spam en general y no exclusivamente de los correos publicitarios. j) Y, sobre todo, teniendo en cuenta las propias caractersticas de la Red, globalidad y universalidad, sera necesaria la consecucin de acuerdos o tratados multilaterales (nacionales e internacionales), tal y como ha sucedido en otras materias en el mbito de Internet, puesto que el mayor problema que se plantea en la lucha contra el spam es el origen del mismo. Recomendaciones para empresas prestadoras de servicios Recomendaciones para las empresas de marketing electrnico

8.3 8.3.1

Las empresas de marketing electrnico poseen ya un importante volumen de negocio; sin embargo, dada la gran potencialidad del sector, cabe esperar que su crecimiento en los
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 103 de 165

Instituto Nacional de Tecnologas de la Comunicacin

prximos aos sea significativo. A continuacin se detallan algunas recomendaciones que puedan reforzar su posicin: a) Generar confianza en clientes y destinatarios. Aunque el modelo de negocio de estas empresas tiene grandes diferencias con el spam, es conveniente transmitirlas tanto a empresas como a destinatarios esas diferencias y dar a conocer el respeto legal y tico que forma parte de las bases de su funcionamiento. b) Establecer las tcnicas que permitan ajustar los contenidos anunciados a las necesidades de los destinatarios. Cuando los destinatarios reciben informacin que no se ajusta a sus necesidades, suelen reducir su confianza en las informaciones recibidas por esta va. c) Facilitar y simplificar los medios puestos a disposicin de los destinatarios para darse de baja de listas de envo de contenidos publicitarios. Este hecho conducir tambin a una mayor confianza en los servicios ofrecidos por estas empresas. d) Fomentar las relaciones con empresas facilitadoras de servicios de correo electrnico (de telecomunicacin, proveedores de servicios de Internet, de correo electrnico), de forma que puedan facilitarse los cauces de llegada a los destinatarios de los correos electrnicos, por ejemplo mediante listas blancas comerciales. e) Agilizar la respuesta a las posibles reclamaciones o consultas de los destinatarios. Se trata de dotar a las comunicaciones comerciales de la informacin de contacto necesaria que permita que los usuarios puedan transmitir sus reclamaciones o consultas a las empresas de marketing electrnico. 8.3.2 Recomendaciones para las empresas prestadoras de servicios de seguridad

Las empresas espaolas complementan la oferta de las internacionales en el mundo de la seguridad informtica. A partir de las entrevistas realizadas, cabe sealar algunas propuestas y recomendaciones para estas organizaciones: a) Consolidar el esfuerzo tecnolgico. Los pasos dados por estas empresas hasta el momento estn en la buena direccin y es conveniente mantener ese esfuerzo. b) Apoyar la calidad y efectividad de sus productos mediante certificaciones (o evaluaciones) de productos o servicios. Esto fomentar la mejora de los productos y permitir ofrecer ventajas competitivas frente a otras compaas. Los agentes entrevistados han valorado de manera muy significativa estas certificaciones que, aunque no resultan definitivas, suponen un valor aadido para la compaa que las incorpora.
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 104 de 165

Instituto Nacional de Tecnologas de la Comunicacin

c) Desarrollar herramientas de seguridad para la proteccin del correo mvil. Las empresas y usuarios estn impulsando la expansin del correo mvil (en funcionamiento en la mayora de los agentes entrevistados). La posibilidad de estar conectado en todo momento viene de la mano de la utilizacin de dispositivos mviles de reducido tamao y, por ende, de prestaciones ms limitadas. Los sistemas de recepcin de correo proporcionan distintos servicios de seguridad para el correo electrnico mvil para proteger la comunicacin entre el dispositivo y el servidor de correo o entre el emisor y el receptor de un mensaje. Debido a la previsible expansin de este tipo de comunicaciones, es conveniente fomentar la creacin de soluciones de seguridad en esta rea. d) Establecer mecanismos para el control de la emisin de correo por parte de ordenadores personales. Se han detectado tcnicas de hacking en las que los spammers hacen uso de ordenadores personales de usuarios annimos para el envo masivo de spam. Los usuarios atacados tardan cierto tiempo en detectar la intrusin en sus equipos y su utilizacin para el envo de correo no deseado. Deberan incluirse mejoras en algunas herramientas de proteccin de ordenadores personales para prevenir el uso no autorizado de los recursos del equipo, y estudiar soluciones a travs de las cuales los propios proveedores de servicios de Internet (ISP) puedan ayudar en la alerta y deteccin de tales ataques. e) Aplicar en remoto sistemas antispam. Las particularidades tcnicas del correo electrnico permiten que a travs de la sencilla redireccin en el servidor de DNS de la organizacin, todo su correo electrnico pueda ser redirigido para su filtrado a un prestador de servicios antispam remoto. Aunque ya existen compaas que ofrecen este servicio, conviene destacar sus ventajas tanto para prestadores del servicio como para clientes finales. f) Prever la evolucin del spam. La constante mutacin del correo electrnico no deseado provoca que los mecanismos empleados para su combate caduquen con celeridad. Es conveniente que las empresas desarrolladoras de productos y servicios de seguridad intensifiquen la investigacin de forma que puedan responder con agilidad a las previsibles formas futuras del spam. g) Definir nuevos servidores de correo electrnico. Entre los agentes estudiados se han encontrado soluciones de seguridad que incorporan nuevos servidores de correo electrnico (frente a los usuales Postfix o Sendmail). La incorporacin de mecanismos de proteccin de estos servidores es una va de mejora que puede proporcionar productos interesantes, mediante el desarrollo de aplicaciones software que implementen mejoras de seguridad o con soluciones conjuntas de hardware y software que incorporen funcionalidades seguras para dichos servidores.
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 105 de 165

Instituto Nacional de Tecnologas de la Comunicacin

8.4 8.4.1

Recomendaciones para usuarios Recomendaciones para organizaciones: empresas y Administracin

Las recomendaciones se dividen en dos grupos: unas de carcter general, relativas al sistema de informacin, y otras relacionadas con el servicio de correo electrnico, que poseen un perfil ms especfico para la defensa frente al spam. Recomendaciones de carcter general La proteccin frente al correo electrnico no deseado debe fundamentarse en el mantenimiento de un nivel de seguridad aceptable para la organizacin. a) Actualizacin y mantenimiento de los sistemas de seguridad: la aplicacin de mecanismos de proteccin precisa de la actualizacin constante y mantenimiento preventivo, de forma que puedan seguir siendo efectivos frente a las amenazas existentes. b) Establecimiento de una poltica de seguridad que determine sin ambigedades las responsabilidades, mecanismos, condiciones y clasificaciones necesarias para el acceso, almacenamiento, transmisin y eliminacin de la informacin manejada en la organizacin. Esta poltica deber ir acompaada de una estructura organizativa de gestin y un plan de seguridad que permitan desarrollar los objetivos establecidos. c) Establecimiento de un plan de recuperacin de desastres y continuidad de negocio: en caso de que se materialice una amenaza que provoque disfunciones del servicio, es necesario disponer de un plan que establezca procedimientos y prioridades para la recuperacin del servicio interrumpido. d) Establecimiento de planes de formacin interna en aspectos relativos a la seguridad de la informacin: una de las salvaguardas con mayor efecto en la seguridad del sistema es la prevencin de las amenazas mediante la imparticin de cursos formativos que ayuden a concienciar a los empleados acerca de la importancia de su papel dentro de la seguridad del sistema de informacin. e) Accesibilidad de la informacin relativa a seguridad: es importante que la informacin sobre a esta materia sea accesible en todo momento para los empleados, de forma que pueda ser consultada de manera fcil. Una de las vas ms utilizadas por los agentes entrevistados es la puesta a su disposicin a travs del servidor web de la organizacin.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 106 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Recomendaciones especficas sobre el servicio de correo electrnico a) Disear y aplicar polticas de uso del correo para empleados y para las empresas y los organismos con los que se relacionan: deben establecerse acuerdos de colaboracin de los que se desprendan relaciones de confianza entre los servidores de correo de estas organizaciones y los servidores de terceros. b) Formar y difundir entre sus empleados informacin sobre cmo actuar frente al correo electrnico no deseado: a este respecto pueden resultar de utilidad las recomendaciones para usuarios descritas en el apartado final de este captulo. c) Evitar la publicacin directa de direcciones de correo electrnico en sus pginas web, empleando mecanismos que eviten su recoleccin automtica (harvesting) por los spammers. d) Cuando se ofrezcan servicios de creacin de cuentas de correo para usuarios a travs de pginas Web, establecer mecanismos de proteccin que eviten su creacin automatizada. En este sentido, el consorcio W3C (World Wide Web Consortium) posee informacin actualizada sobre las mejores tcnicas aplicables, por ejemplo, aquellas basadas en tests de verificacin visual. e) Cuando ofrezcan pginas Web desde las que enviar correos electrnicos, establecer mecanismos de autenticacin previos para evitar que pueda realizarse ese envo de manera automtica. Si no es posible establecer estos mecanismos, utilizar los comentados tests de verificacin visual. f) Evitar que los servidores de correo acepten el envo sin autenticacin de usuarios: cualquier servidor de correo sin proteccin puede ser utilizado por los spammers para, a travs de l, enviar correo masivo (algunos de los agentes estudiados han tenido intentos de ataques en esta lnea). Por ello, es aconsejable tambin sustituir los protocolos de acceso y descarga de correo por protocolos seguros (por ejemplo, complementados mediante la aplicacin del protocolo SSL (Secure Socket Layer). g) Establecer salvaguardas proactivas en los servidores de correo: estos mecanismos de seguridad (listas grises, marco de trabajo SPF, etctera) ofrecen la ventaja de que rechazan las conexiones de servidores de correo electrnico no deseado, por lo que estos correos no llegan a los buzones de los usuarios. Ello supone, adems de la proteccin de los usuarios, beneficios en el sistema de informacin, pues se reducen los recursos computacionales, de almacenamiento y de red que seran necesarios si esos correos spam fueran eliminados con posterioridad.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 107 de 165

Instituto Nacional de Tecnologas de la Comunicacin

h) Fomentar la activacin de funcionalidades SPF 74 (Sender Policy Framework) en los servidores de nombres de dominio (DNS) de las organizaciones. La salvaguarda denominada SPF permite identificar a las mquinas autorizadas para el envo de correos electrnicos en cada dominio. Su funcionamiento precisa que las organizaciones integren registros SPF dentro de sus servidores DNS, permitiendo as resolver consultas de este tipo por parte de servidores de correo. i) Establecer salvaguardas reactivas en servidores de correo y en clientes de correo: esta recomendacin complementa a las dos anteriores, pues seguir existiendo correo no deseado que consiga llegar a los buzones de los usuarios y en ese momento debern ser aplicadas medidas reactivas que los detecten (en el propio servidor o en el cliente de correo del usuario) y puedan filtrarlos. j) Recuperar falsos positivos: en ocasiones, algunos sistemas de proteccin consideran spam a mensajes legtimos. Este problema puede empeorar si el mensaje es eliminado directamente del buzn del usuario y almacenado en una carpeta especfica. Debido al alto porcentaje de spam recibido por los usuarios, el contenido de esta carpeta se elimina peridicamente. Por ello, es conveniente que los administradores definan su caducidad de forma que permita la recuperacin de estos falsos positivos (los valores temporales para esta caducidad en los agentes entrevistados van desde una semana a un mes). La determinacin de ese tiempo debe tener en cuenta el perfil de empleado del que se trate, aumentando paralelamente a la responsabilidad de su cargo.

k) Controlar la redireccin del correo electrnico por los empleados: en las entrevistas realizadas a los agentes se han identificado organizaciones donde muchos de sus usuarios redireccionan su correo profesional a alguna cuenta de correo gratuito en Internet. Esto implica que todas las comunicaciones de correo electrnico de este usuario sean reenviadas a un servidor que escapa del control de la organizacin, lo que perjudica a la seguridad de su sistema de informacin. Por ello, debe ser controlado por los administradores del sistema para determinar en qu condiciones y qu usuarios pueden hacerlo. l) Difundir entre los empleados informacin relativa a las salvaguardas antispam implantadas por la organizacin: este hecho contribuye a su concienciacin sobre el problema del spam. En algunas de las organizaciones entrevistadas, los empleados pueden tomar decisiones acerca de la severidad de su filtro antispam. Aunque este hecho contribuye a la concienciacin de los usuarios, su aplicacin, sin embargo, debe ser precedida de un esfuerzo formativo

74

El procedimiento tcnico puede ser consultado en http://old.openspf.org/ Pgina 108 de 165

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Instituto Nacional de Tecnologas de la Comunicacin

de la organizacin que asegure que los empleados conocen las implicaciones que la configuracin de filtro antispam tiene. 8.4.2 Recomendaciones para usuarios particulares: PYMES e individuos

Si bien es cierto que los usuarios poseen una concienciacin significativa del problema del spam, tambin lo es que en las entrevistas realizadas se ha podido detectar cierta desinformacin, un conocimiento parcial del problema y una falta de referencias sobre fuentes de informacin fiables en aspectos de seguridad informtica, en ocasiones, los usuarios acuden a fuentes sin solvencia o poco acreditadas. Todo ello justifica los esfuerzos de formacin, divulgacin y concienciacin llevados a cabo por las administraciones pblicas. Sin embargo, y a pesar del los problemas que crea el spam, los usuarios son cada vez ms dependientes del correo electrnico; manejan diariamente un volumen importante de correos y parece claro que su uso seguir aumentando de manera significativa. Por ello, una buena informacin, extrada de fuentes rigurosas y fiables, constituir la base para el uso seguro y ptimo del correo electrnico. A continuacin se detallan algunas recomendaciones y pautas a seguir: Recomendaciones de carcter general para los usuarios particulares a) Aplicar normas bsicas de seguridad, pues las amenazas de Internet hacen imprudente obviar cualquier tipo de proteccin para los ordenadores. Es indispensable mantener el equipo protegido, con los antivirus actualizados y con cortafuegos personales que detecten intentos de conexin no autorizados. b) Solicitar al proveedor de servicios de Internet (ISP) la aplicacin de salvaguardas de seguridad. Ello permitir disponer de un primer nivel de proteccin frente a las diversas amenazas. c) Uso compartido de ordenadores. Es muy habitual que un mismo ordenador sea utilizado por diversas personas, sobre todo en el mbito familiar. Es importante que todos los usuarios comprendan y apliquen las necesarias pautas de seguridad. Recomendaciones especficas sobre el correo electrnico para los usuarios particulares a) Desconfiar de los correos que prometen interesantes beneficios, generalmente desproporcionados. Muchos correos no deseados prometen interesantes beneficios econmicos, solicitan ayuda para personas u organismos en situaciones dramticas, etctera. Ante estos correos se debe actuar con la

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 109 de 165

Instituto Nacional de Tecnologas de la Comunicacin

misma precaucin que en el caso de que un desconocido planteara esta situacin en la vida cotidiana. No hay mejor norma de seguridad que el sentido comn. b) No responder nunca a un correo electrnico no deseado, por muy realista que parezca. Los spammers utilizan esta tcnica para refinar las listas de correos, por lo que una respuesta provocar que la direccin sea considerada como vlida y por lo tanto susceptible de envo o recepcin de spam. c) Nunca visitar, o hacerlo con extrema precaucin, direcciones web recibidas o incluidas en correos electrnicos. Mediante un sencillo clic, los spammers pueden recopilar diversa informacin relativa a una cuenta de correo, principalmente si la direccin de correo utilizada es vlida. d) Nunca solicitar ser eliminado de una lista de distribucin de correo en la cual no se ha inscrito. Seguramente, la intencin del emisor ser comprobar si la direccin de correo que est utilizando es vlida. En ocasiones tambin pueden recibirse correos similares en los que se informa al receptor que se le va a imponer una multa o cargo a su cuenta a no ser que conteste a ese correo, o de que ha sido premiado. Su intencin es idntica y ante ellos debe actuarse de la misma forma: sin darle respuesta. e) Cuando se enva un correo a una lista de direcciones conocidas, utilizar la copia ciega (Bcc, Ccc), respetando as la privacidad de cada uno de los contactos. Si no se hace as, todas las direcciones del correo podran ser recopiladas por spammers. f) Mantener siempre activas las herramientas de filtro antispam. La utilizacin de esta herramienta en todo momento aporta dos beneficios: uno directo, el filtrado de los correos detectados como spam; y la adquisicin de nuevos conocimientos por la herramienta, que cada vez ser ms certera, gracias a sus motores de aprendizaje. g) No publicitar la cuenta de correo de manera directa en Internet. Utilizar tcnicas que impidan su recoleccin automtica (harvesting). Sustituir los smbolos ms habituales del correo electrnico mediante el empleo de combinaciones de letras autoexplicativas, imgenes en lugar de texto, etctera. h) Utilizar varias cuentas de correo electrnico y emplearlas en su entorno adecuado (laboral, personal, ocio). Esto permitir reducir la recepcin de spam en algunas de ellas, a cambio de que las cuentas ms expuestas reciban mayores cantidades de correo no deseado. En este ltimo caso, la cuenta podr eliminarse y ser sustituida por una nueva, y las cuentas provenientes de mbitos con mayor

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 110 de 165

Instituto Nacional de Tecnologas de la Comunicacin

nivel de seguridad (como el laboral) no podrn ser recolectadas por spammers en entornos ms inseguros. i) Si es posible, utilizar nombres para las cuentas de correo poco identificables. Los spammers utilizan mtodos de generacin automtica de cuentas de correo (basados en nombres habituales, apodos, palabras de diccionario, etctera). Por ello, cuando sea posible (por ejemplo, para la utilizacin en el mbito familiar o de ocio), es conveniente escoger direcciones de correo difcilmente generables de manera automtica. El papel de la industria

8.5

En este epgrafe hemos contado con la opinin de tres empresas del sector de la seguridad TIC que ofrecen productos y servicios para controlar y minimizar los efectos del spam. Segn MessageLabs En el futuro el resto en la lucha contra el spam ser el constante cambio de los cdigos del spam, es por eso que los sistemas tradicionales basados en software o hardware, no sern capaces de atajar el problema del spam, ya que se trata de sistemas pasivos basados en firmas, es decir virus y spam conocido. Hay que tener en cuenta que el objetivo de los spammers es llegar a los usuarios finales. Es por eso que continuamente van cambiando los cdigos e incluso cambiando la direccin IP desde dnde emiten el spam. Desde MessageLabs entendemos que la mejor manera de atajar el problema del spam es atajarlo en la raz del problema. En este sentido, mediante una gran cantidad de honeypots con los que cuenta es capaz de captar las direcciones IP desde donde se est emitiendo masivamente el spam, y a continuacin proceder a la ralentizacin de los mensajes mediante dos tcnicas: la gestin del trfico y la gestin de conexin. As, cabe destacar que MessageLabs en marzo de 2008 se han procesado una media de 3.900 Millones de conexiones SMTP al da, de las cuales el 22,3 % fueron devueltas a los spammers a travs de la ralentizacin por gestin del trfico y por otra parte el 47,7 % era proveniente de botnets. Por tanto se puede afirmar que el mejor sistema para abordar el problema del spam en el futuro ser mediante sistemas reactivos y externalizados, que permitirn a las empresas estar completamente protegidas contra las amenazas de los virus, el spam y el phishing, y con unos compromisos de servicio (SLA) inmejorables.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 111 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Segn Spamina El correo electrnico no solicitado, tambin conocido como spam, se ha convertido en los ltimos aos en un problema que afecta seriamente al correo electrnico en general como medio de comunicacin, tanto a nivel de empresas, como de instituciones y usuarios particulares. El correo electrnico es un medio de comunicacin rpido, eficaz y de bajo costo, que como consecuencia de los avances tecnolgicos y de la masificacin de los mismos, se ha convertido en una herramienta fundamental para la agilizacin de las comunicaciones entre individuos, as como tambin de muchos procesos industriales. En este contexto apareci el spam como una forma econmica de publicidad por un lado, y por otro lado, como un peligroso medio de contagio y propagacin de software maligno que, sin el consentimiento del usuario, realiza actividades ilcitas o perjudiciales (conocidos en forma general como cdigos maliciosos). En este sentido, el spam responde a un modelo de contaminacin del espacio de las comunicaciones que, si prosiguiera su evolucin sin que se tomen medidas al respecto, podra acabar con todas las ventajas que el correo electrnico ofrece, y por lo tanto, con el correo electrnico mismo. Actualmente ms del 90% del correo electrnico que circula por la Internet es spam. Entre los riesgos y costes ms importantes que introduce spam se pueden citar los siguientes: Espionaje industrial y recoleccin ilcita de datos. Los virus informticos que se propagan a travs del spam pueden ser utilizados para tomar en forma ilcita informacin sobre usuarios y empresas, revelando informacin personal y secretos industriales o comerciales de las empresas a terceros. Terrorismo informtico. Los virus tambin pueden ser utilizados para atentar contra grandes sistemas informticos, provocando su mal funcionamiento o incluso su destruccin, mediante una tcnica conocida como 'Ataque de denegacin de servicio distribuido' (DDoS), entre otras. Incremento de los costos de comunicacin. Como consecuencia del gran trfico de datos que provoca el spam, las empresas y proveedores de Internet o aplicaciones en lnea se ven obligados a contratar canales de comunicacin de mayor velocidad, y servidores ms potentes con el fin de poder procesar el correo electrnico. Prdida de tiempo y riesgo de prdida de informacin. Cuando los usuarios reciben una gran cantidad de correo electrnico, de la cual solo una pequea parte es til, se ven obligados a revisar y separar el correo til del spam, perdiendo mucho tiempo en el proceso y corriendo el riesgo de eliminar accidentalmente informacin til.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 112 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Las tcnicas disponibles para combatir el spam pueden clasificarse en tres grandes grupos: 1. Tcnicas de precaucin o 'precavidas'. Son todas aquellas tcnicas que buscan convencer a las personas/empresas que generan spam (conocidos como spammers) de no hacerlo. Normalmente se utilizan recursos legales a tal fin, como son las polticas de uso aceptable, cuya violacin en algunos pases es penada con grandes multas o incluso con crcel. La dificultad ms grande que poseen estas tcnicas es la naturaleza internacional del correo electrnico y de la Internet en general, que hace que sea muy difcil que exista un marco legal uniforme para juzgar y condenar a los spammers. Por otro lado, los spammers utilizan avanzados recursos tcnicos para ocultar su identidad, lo que en muchos casos los hace prcticamente imposibles de identificar. 2. Tcnicas reactivas. Son aquellas tcnicas que buscan separar automticamente los correos provenientes de spammers de aquellos que son genuinos. Normalmente se utilizan clasificadores basados en el anlisis del contenido del correo electrnico, a fin de encontrar patrones que delaten la naturaleza spam del mismo. Estas tcnicas son costosas y muy imprecisas. Es necesario recibir el correo para poder analizarlo por lo que el canal de comunicacin y el espacio en los servidores se consume de todas formas. Adems, las tcnicas de inteligencia artificial que se utilizan para clasificar el correo consumen mucho poder de procesamiento, y no son exactas. Los errores que cometen los clasificadores pueden causar que un correo legtimo sea clasificado como spam, conocido como 'falso positivo', y por lo tanto generar prdidas de informacin. 3. Tcnicas proactivas. Son aquellas tcnicas que buscan identificar o desalentar al spammer en el momento en que se conecta al servidor de correo para transmitir los mensajes. Para identificar el origen del spam se utilizan, entre otras cosas, grandes listas normalmente pblicas, que se pueden consultar cada vez que se recibe una conexin a fin de rechazarla directamente, evitando el uso innecesario del canal de comunicacin y de los recursos de los servidores. Para desalentar al spammer se utilizan tcnicas que lo obligan a reintentar varias veces antes de aceptarle los correos, de forma tal que el costo de envo se incremente para el spammer. Estas tcnicas presentan el problema de que actualmente existen muchos orgenes de correo electrnico genuino que, por no respetar las normas tcnicas que rigen el correo electrnico, son confundidos con spammers, por lo que sus correos no pueden ser entregados. Este efecto genera incomunicacin en muchos casos en que este problema no es atendido con la suficiente celeridad. Usuarios particulares, instituciones y empresas disponen de dos grandes formas de paliar el flagelo del spam:
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 113 de 165

Instituto Nacional de Tecnologas de la Comunicacin

a) Usar herramientas disponibles pblicamente. Cualquier usuario, institucin o empresa puede utilizar herramientas disponibles pblicamente para reducir el spam. Estas herramientas se basan normalmente en algunas de las tcnicas mencionadas arriba, y poseen un buen desempeo. Sin embargo, se debe destacar que no existe una solucin de punto final para el spam, dado que los spammers evolucionan constantemente con el fin de superar estas herramientas. Por esta razn el inters y el trabajo necesario para tener un buen resultado es un proceso continuo que requiere de atencin permanente. b) Contratar a una empresa especializada. Las empresas especializadas, como Spamina, utilizan una combinacin de herramientas y tcnicas que est sujeta a constante revisin, investigacin y mejora a fin de que sus clientes no deban invertir tiempo ni esfuerzo en la lucha contra el spam. En este caso, el correo es recibido y procesado por la empresa especializada, entregando solamente el correo til a sus clientes. Este servicio puede prestarse a travs de un servidor central, sito en las dependencias de la empresa especializada, que luego transmite el correo til al servidor del cliente, o bien mediante un servidor especialmente armado que se instala en la dependencia del cliente, antes de su servidor de correo. Normalmente se elige una forma u otra en funcin del tamao, infraestructura y poltica del cliente. La inclinacin por resolver el problema por medios propios, o contratar una empresa especializada depende fundamentalmente de la naturaleza del usuario, institucin, o empresa. Un cuidadoso anlisis de costo-beneficio para cada caso en particular es sin duda la mejor forma de elegir.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 114 de 165

Instituto Nacional de Tecnologas de la Comunicacin

9 CONCLUSIONES
Ante el uso indiscriminado del correo electrnico en comunicaciones no deseadas comerciales o fraudulentas, que suponen un claro impacto y amenaza para las organizaciones y particulares, el Observatorio de la Seguridad de la Informacin de INTECO se ha implicado en la realizacin de este estudio sobre el spam. Se ha pretendido dar una visin cualitativa y cuantitativa del fenmeno, con especial atencin a la situacin actual en Espaa, y analizarlo desde los planos tecnolgico, social y jurdico. Con este fin, se han desarrollado trabajos de anlisis e investigacin, estimando el impacto que el spam tiene en las empresas y usuarios, analizando de manera cuantitativa y cualitativa la percepcin del mismo y, finalmente, estableciendo recomendaciones y propuestas conducentes a la minimizacin de sus efectos. Partiendo de los aspectos tcnicos relacionados con el spam, destaca la incesante transformacin a la que se encuentran sometidas las tcnicas empleadas por los spammers, por lo que es igualmente necesaria la mejora de las soluciones antispam para que sigan siendo efectivas. A esto se aade la utilizacin de redes de ordenadores zombies, las llamadas botnets, en las que se incluyen miles de equipos comprometidos y se derivan las responsabilidades del spam enviado. La evolucin de los tipos y nuevos medios por los que se enva el spam, a travs de telefona mvil, Voz sobre IP o mensajera instantnea, confirma que las tcnicas empleadas por los spammers son cada vez ms ingeniosas y sofisticadas, persiguiendo ir un paso por delante y sortear las protecciones antispam. La problemtica del spam ha hecho surgir el debate sobre qu correos electrnicos pueden considerarse spam y cules no. Aunque las listas de distribucin y el propio spam tienen en comn el envo de un volumen grande de correos, existen dos mecanismos bsicos para el control y diferenciacin de estos envos: la opcin de aceptacin, o sistema opt-in, previa a la primera comunicacin, y la opcin de cancelacin u opt-out en cada comunicacin. Estos sistemas, que ya estn regulados normativamente, exigen el consentimiento del usuario de modo explcito, incluso mediante una doble confirmacin, adems de ofrecer la opcin de cancelacin de los correos que el usuario est recibiendo. Fuera de esta validacin, todo correo masivo se entiende como spam. En este sentido, los expertos sealan el desajuste entre pases con sus correspondientes marcos jurdicos que dificultan la focalizacin ntida del problema. La simple diferencia entre los sistemas opt-in u opt-out segn la parte del globo de que se trate puede abrir brechas en un problema que no conoce fronteras. Teniendo en cuenta las propias caractersticas de la Red, globalidad y universalidad, sera necesario la consecucin de
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 115 de 165

Instituto Nacional de Tecnologas de la Comunicacin

acuerdos o tratados multilaterales (nacionales e internacionales), puesto que los mayores problemas que se plantean en la lucha contra el spam radican en el origen del mismo. No hay que olvidar, por ejemplo, que en la mayora de las ocasiones el spam recibido procede de fuera de nuestro pas y, en consecuencia, extralimita nuestro marco jurdico y escapa a su persecucin y sancin. Dentro del marco legal del spam, los expertos juristas reafirman y destacan la encomiable labor del cuerpo jurdico espaol en defensa de los ciudadanos y organizaciones ante un problema tan complejo, que se desarrolla en un contexto no menos complejo como el de Internet como piedra basal de la Sociedad de la Informacin. Sealan as las medidas de carcter normativo, como la LOPD (Ley Orgnica de Proteccin de Datos de Carcter Personal), la LSSICE (Ley de Servicios de la Sociedad de la Informacin y de Comercio Electrnico) y, con un carcter ms amplio, la Ley General de Telecomunicaciones. Como novedad del estudio, se han obtenido resultados acerca del impacto econmico y social del spam. Hay que resear la dificultad metodolgica que plantea analizar informacin de este tipo, tanto de las empresas como de los usuarios domsticos; reside en realizar estimaciones sobre datos de inversin realizada para mitigar el fenmeno del spam. En este sentido se han analizado fuentes documentadas ya existentes para comparar metodologas. Desde INTECO se considera que el coste econmico para una empresa, basado en el coste por trabajador y tiempo de trabajo, como consecuencia del spam, se puede estimar en 165 /ao por trabajador en el ao 2006 y de 179/ao en 2007. Resulta necesario tambin destacar los resultados obtenidos sobre el impacto social del spam. Las cifras indican que este tipo de incidencia es ms frecuente que otros, como el phishing o incluso el malware. Los usuarios colocan a la publicidad como el mayor problema de Internet, tanto la que se emite en ventanas emergentes (pop-ups) como la recibida en el correo spam. La mayor consecuencia es que el spam ha generado una desconfianza relativa entre los usuarios habituales del correo electrnico; sin embargo no ha podido constatarse una reduccin de su uso. Los expertos ponen el acento en la necesidad, entre otras, de la inclusin de la definicin de correo electrnico, as como de la matizacin de conceptos como el de envo masivo de comunicaciones comerciales" del artculo 38 LSSICE, que en ocasiones puede derivar en una interpretacin desacertada. En cuanto a las comunicaciones comerciales por correo electrnico, indican las ventaja que podra suponer incluir ciertas modificaciones en estas comunicaciones para dar una mayor transparencia al envo y confianza a los destinatarios.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 116 de 165

Instituto Nacional de Tecnologas de la Comunicacin

En el plano cuantitativo, el estudio ha contemplado un conjunto de mediciones, tanto a nivel internacional como incluyendo a Espaa como sujeto activo y pasivo y su relacin con el spam. La situacin internacional viene marcada por una evolucin creciente del volumen de spam, su tipologa y los efectos negativos causados en los ltimos aos, con el resultado de que tres de cada cuatro correos que se envan a travs de la Red son spam, aunque en los ltimos meses se ha producido un movimiento de estabilizacin. El pas que ms spam emite es EE.UU., con un volumen del spam mundial (22,5%) muy superior al de Corea del Sur, que ocupa la segunda posicin (6,5%). En el lado contrario, los pases que ms spam reciben son Israel y Hong Kong. Por otra parte, se aade su vinculacin con otros ataques, como la propagacin de cdigos maliciosos (virus, troyanos) o servir debase al fraude online (phishing). Los efectos del spam en las comunidades de usuarios de Internet son cada vez ms importantes y su impacto es todava ms difcil de cuantificar. Analizando la situacin de Espaa, se extraen las siguientes conclusiones: El volumen de correo no deseado con origen y destino en Espaa ha aumentado significativamente en los ltimos aos. El 84,6% de los mensajes de correo en circulacin analizados por INTECO son identificados como spam. En cuanto a la generacin de spam, Espaa se posiciona en el undcimo lugar a nivel mundial desde 2006, por detrs de Estados Unidos, China, Corea del Sur y Francia. Mientras en los tres primeros pases se han reducido progresivamente los niveles de emisin, en Espaa se ha doblado la cifra de generacin de spam en menos de un ao y contina en aumento. El correo no deseado recibido en Espaa tiene como origen fundamentalmente tres zonas geogrficas: EE.UU., Europa del Este y Asia, si bien la tendencia es creciente en cuanto a spam procedente de pases latinoamericanos. Al mismo tiempo, a travs de este informe se ha pulsado el estado de opinin del sector y de los usuarios, esencialmente en empresas, con la finalidad de alinear futuras iniciativas privadas y pblicas orientadas a frenar el avance de esta prctica ilcita. El fenmeno de spam subsistir frente a cualquier sofisticada solucin tecnolgica mientras las prcticas de usuarios y organizaciones no sean reconducidas hacia un uso adecuado de las tecnologas de la informacin y, en concreto, el empleo responsable del correo electrnico.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 117 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Siguiendo en esta lnea, el informe ha sealado las opiniones de los expertos en cuanto a las actuaciones que conviene tener presentes en la proteccin global frente al spam. As, se hace necesario insistir en los siguientes puntos: La motivacin hacia la formacin de usuarios y organizaciones prevalece como mejor herramienta para prevenir el ser vctima o involuntario actor de un posible ataque de spam. La adecuada gestin de seguridad de los sistemas de informacin, en la que debe contemplarse el establecimiento de una poltica de seguridad que determine sin ambigedades las responsabilidades, mecanismos, condiciones y clasificaciones necesarias para el acceso, almacenamiento, transmisin y eliminacin de la informacin manejada en las organizaciones. El diseo y aplicacin de polticas de uso del correo electrnico en toda la estructura de las organizaciones, as como en aquellas otras entidades pblicas o privadas con las que se establecen relaciones administrativas o comerciales necesarias para el desarrollo de su actividad. La aplicacin de sencillas medidas preventivas ante hbitos inadecuados como el de la publicacin directa de direcciones de correo electrnico en las pginas web corporativas o el empleo de servicios de correo va web (web mail) sin polticas de uso bien diseadas. El establecimiento de protecciones proactivas (listas grises, marco de trabajo SPF, etctera) en los servidores de correo, en combinacin con salvaguardas reactivas en ellos y en los propios clientes de correo. Expertos en seguridad de la informacin concluyen con un conjunto de aspectos particulares que deberan sumarse a los anteriores en aras de conseguir soluciones globales y robustas al spam. En este sentido, destacan: Impulso decidido hacia la calidad y efectividad en los sistemas, mediante certificaciones o evaluaciones de productos o servicios antispam. Demanda de esfuerzo en la consolidacin tecnolgica, desarrollando herramientas y mecanismos ms potentes que permitan mayor control, por ejemplo, en la emisin de correo desde ordenadores personales, sin olvidar la especial atencin que requieren tendencias como la del correo electrnico mvil, irremisible a corto plazo. Si bien para las grandes empresas, multinacionales en algunos casos, suele existir un sistema de informacin centralizado que da servicio a las distintas delegaciones de la
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 118 de 165

Instituto Nacional de Tecnologas de la Comunicacin

compaa y los servicios antispam son gestionados de manera interna y centralizada, algunos expertos apuntan a un nuevo e interesante nicho de mercado para empresas dedicadas a la seguridad de la informacin y comunicaciones. Ante el volumen de correo no deseado, pueden pasar de centrarse en productos de tipo reactivo ante el spam (software antispam en el lado del cliente) a otras medidas proactivas de proteccin que permitan rechazar los correos electrnicos no deseados en el servidor de correo mediante una estrategia basada en la externalizacin del servicio. De esta manera, dicho servicio es proporcionado por personal tcnico cualificado y dedicado exclusivamente a la seguridad de correo. Esto tiene especial incidencia en pequeas y medianas empresas, que de esta manera evitan la constante actualizacin de equipos o software de seguridad para el control del correo y optimizan el empleo de su personal para el objeto central de su negocio. Estas medidas se aplican cuando se constata un nivel adecuado de seguridad y calidad del servicio por parte de la empresa externa y bajo un acuerdo contractual que preserve la seguridad de los datos manejados. Hay que tener en cuenta que, ms all de los usuarios particulares, son los empleados de las pequeas y medianas empresas, sin una solucin adecuada frente al spam, las que sufren este fenmeno en trminos de productividad, pues invierten un tiempo nada despreciable en eliminar y filtrar el correo no deseado o recuperar falsos positivos. De otro lado, los responsables de empresas de marketing electrnico ponen el acento en la relevancia e impacto del spam en el desarrollo de su actividad empresarial. Dado que el ejercicio de su modelo de negocio requiere del envo lcito de correos masivos, este debe quedar bien diferenciado del spam, para poder llegar a sus clientes soslayando las medidas antispam establecidas por las estafetas de correo que les dan servicio. Los mecanismos antispam pueden afectar al envo de correos legtimos desde estas empresas, por lo que sus responsables han puesto en marcha estrategias para asegurar su actividad, contribuyendo activamente a la proteccin y reduccin del impacto del correo no deseado. Los expertos sealan como fundamentales las siguientes lneas de actuacin: Establecer acuerdos con las grandes empresas que ofrecen servicios de correo electrnico y con proveedores de servicios de Internet para que permitan el envo de estos correos, basados en la elaboracin de listas blancas. Compromiso frente a las posibles quejas o reclamaciones de usuarios, que son tambin vctimas y parte perjudicada en esta relacin comercial y que como clientes esperan actitudes de solvencia y garanta de la empresa de marketing. Esfuerzos en la divulgacin de su modelo de negocio y de los aspectos legales que diferencian el correo propio del marketing electrnico del spam. En tanto que el
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 119 de 165

Instituto Nacional de Tecnologas de la Comunicacin

marco jurdico espaol vela por el derecho de estas empresas a realizar su actividad comercial, las mismas trabajan por el refuerzo y cumplimiento de la legislacin espaola en lo referido a sus intereses. Las conclusiones de los expertos consultados en el informe y procedentes de distintos sectores sealan la labor fundamental en la mitigacin del spam que deben desarrollar las administraciones pblicas: iniciativas de concienciacin, formacin, evaluacin, proteccin, coordinacin y organizacin de los diferentes agentes que se enfrentan a este problema.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 120 de 165

Instituto Nacional de Tecnologas de la Comunicacin

ANEXO I: MARCO JURDICO DEL CORREO ELECTRNICO NO DESEADO (SPAM): NORMATIVA APLICABLE, INFRACCIONES, SANCIONES Y CASOS PRCTICOS
I Introduccin

El correo electrnico no deseado (o spam) en la forma de comunicaciones comerciales a travs de este medio es un instrumento de promocin empresarial y una actividad publicitaria en s misma, que se ha convertido en una de los mtodos de marketing ms utilizados por las empresas. Pero el ejercicio abusivo y agresivo de dichas tcnicas ha supuesto la reaccin del legislador, promulgando una normativa especfica para proteger a los consumidores y usuarios. Junto con la regulacin de su contenido, dirigida a hacer de ellas actividades veraces y transparentes, se procura que las comunicaciones comerciales enviadas a travs de Internet sean totalmente identificables como tales y que se haga un uso lcito de los datos personales utilizados para preparar las promociones a travs del correo electrnico. Las comunicaciones comerciales enviadas a travs de la Red ofrecen innumerables ventajas, pero tambin ciertas incertidumbres jurdicas que precisan del establecimiento de un marco jurdico adecuado. Diariamente estas prcticas de difusin comercial masiva son poco respetuosas con el derecho a la intimidad y a la privacidad de las personas; en particular, las intromisiones no deseadas y la difusin de datos personales con finalidad comercial, fuente de gran parte de las ofertas y publicidad no deseada. Estas prcticas suelen ir acompaadas con relativa frecuencia de una violacin de la normativa vigente en materia de proteccin de datos, ya que para formar una base con direcciones de e-mail no cuentan con el consentimiento de los titulares de dichos datos. En cualquier caso, es necesario recordar que este tipo de publicidad no puede suponer en modo alguno un menoscabo de los derechos y legtimos intereses de sus destinatarios, al igual que ocurre con el resto de formas de publicidad que se realizan a travs de otros medios. Por todo ello, en el presente informe se intenta plasmar el rgimen jurdico de las comunicaciones comerciales va electrnica en su conjunto, desde su definicin y normativa aplicable, pasando por los requisitos que los empresarios deben cumplir para enviar comunicaciones que no hayan sido solicitadas por los destinatarios de las mismas, hasta el sistema de responsabilidad correspondiente a las infracciones cometidas y daos ocasionados en la materia y desde un punto de vista amplio, ya que no se estudiar slo la legislacin espaola sino el origen de la misma, que se encuentra en el mbito comunitario
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 121 de 165

Instituto Nacional de Tecnologas de la Comunicacin

(la proteccin de los consumidores es uno de los principios bsicos de la Unin Europea, recogido como poltica autnoma en el artculo 153 del Tratado de la Comunidad Europea). I.1 Objeto

El presente anexo es un complemento al Estudio sobre la situacin, naturaleza e impacto econmico del spam para ciudadanos y empresas en lo que al marco legal se refiere. Hasta el momento son pocas las referencias especializadas en esta materia, aun cuando su importancia en la mitigacin de los efectos de las comunicaciones electrnicas no deseadas y el fenmeno del spam es muy significativa. Las peculiaridades de la concrecin en la terminologa y definiciones empleadas por la normativa, la garanta de los derechos y obligaciones de los destinatarios y entidades emisoras de correo masivo, la proteccin de datos personales involucrada, as como el rgimen sancionador aplicable son detalladas en los prximos epgrafes. Se completa este anexo con casos de estudio sobre sentencias recientes en el panorama nacional, que arrojan datos prcticos sobre la aplicacin de la ley y reflejan las bondades y carencias del rgimen jurdico en Espaa frente a la problemtica econmico-social asociada al spam. I.2 Consideraciones previas sobre el correo electrnico no deseado (spam)

Se puede afirmar que el spam es una adaptacin a la nueva Sociedad de la Informacin de la tradicional propaganda enviada por correo postal, debido a las similares molestias que ambos presentan. En cuanto al concepto de spam, en la actualidad no existe ni en la doctrina ni en el Derecho comparado unanimidad a la hora de determinarlo, entendindose, en trminos generales, como todo aquel e-mail no solicitado que llega a los buzones de correo electrnico, independientemente del tema que trate. A modo de ejemplo, se debe sealar que en ocasiones se define spam como aquellos correos electrnicos comerciales no solicitados y masivos no solicitados procedentes de una misma persona. Incluso intentando concretar la definicin de spam, lo que resulta comn en ambos casos es que se trata de correos electrnicos no solicitados, pero dicha condicin, aun siendo necesaria, no es requisito suficiente para considerarlo como tal, pues el rasgo que lo cualifica es su carcter comercial o la cantidad enviada. En el ordenamiento jurdico espaol los correos electrnicos no deseados de contenido no comercial no han tenido un tratamiento legal, ya que la legislacin espaola se ha centrado nica y exclusivamente en la regulacin del que se podra denominar spam comercial, correos electrnicos comerciales no deseados o comunicaciones comerciales no solicitadas. Precisamente sobre este ltimo trmino gira la regulacin espaola, tal y como se ver ms adelante.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 122 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Por todo ello, se llega a la conclusin que no se puede confundir el trmino genrico de spam con la prospeccin comercial no solicitada de las empresas, que no siempre es spam, ya que est permitido enviar comunicaciones comerciales no solicitadas cuando se cumple la normativa vigente. En consecuencia, se realiza un exhaustivo estudio, nicamente, de las comunicaciones comerciales no solicitadas. II II.1 Marco jurdico aplicable al fenmeno del spam en Espaa Definicin de las comunicaciones comerciales va electrnica

A pesar de que las comunicaciones comerciales podran ser entendidas como todo aquel mensaje publicitario destinado a impulsar una actividad comercial a travs de cualquier medio de comunicacin, se debe atender estrictamente a su definicin legal que se recogi, por primera vez, en la letra f) del artculo 2 de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurdicos de los servicios de la Sociedad de la Informacin, en particular del comercio electrnico en el mercado, ms conocida como Directiva sobre Comercio Electrnico (en adelante DCE). En dicho apartado se pueden diferenciar claramente dos partes. Por un lado, seala que se entiende por comunicacin comercial todas las formas de comunicacin destinada a proporcionar directa o indirectamente bienes, servicios o la imagen de una empresa, organizacin o persona con una actividad comercial, industrial, artesanal o profesiones reguladas. Por otro lado, completa la citada definicin con aquellas actividades que no se consideran como tales; en concreto, no se consideran comunicaciones comerciales ni los datos que permitan acceder directamente a la actividad de la empresa, organizacin o persona y, en particular, el nombre de dominio o la direccin de correo electrnico, ni las comunicaciones relativas a los bienes, servicios o a la imagen de la empresa, organizacin o persona elaboradas de forma independiente a ella, en particular cuando se realicen sin contrapartida econmica. En el ordenamiento jurdico espaol, la Ley 34/2002 de Servicios de la Sociedad de la Informacin y Comercio Electrnico, de 11 de julio, denominada Ley de Comercio Electrnico o LSSICE, que traspone la mencionada Directiva, recoge en el prrafo f) del Anexo el concepto de comunicacin comercial en el mismo sentido al indicado anteriormente. El legislador espaol define las comunicaciones comerciales como toda forma de comunicacin dirigida a la promocin directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organizacin o persona que realice una actividad comercial, industrial, artesanal o profesional, excluyendo de tal definicin los datos que permiten
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 123 de 165

Instituto Nacional de Tecnologas de la Comunicacin

acceder directamente a la actividad de una persona, empresa u organizacin, tales como el nombre de dominio o la direccin de correo electrnico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezcan cuando sean elaboradas por un tercero y sin contraprestacin econmica. Por tanto, se excluyen del concepto de comunicaciones comerciales las actividades desarrolladas por terceros sin encargo del titular de los bienes o servicios y sin remuneracin, los enlaces a pginas web de contenido publicitario o la indicacin de direcciones de correo electrnico. Aunque no se mencionan explcitamente, quedaran excluidas del concepto de comunicaciones comerciales todas aquellas menciones que gozan de carcter informativo, ausentes de toda finalidad comercial o empresarial como la propaganda institucional, poltica y religiosa. En consecuencia, tanto la Directiva como la LSSICE, al hacer referencia a la expresin "toda forma de comunicacin", abogan por un concepto muy amplio de comunicacin comercial en el que se incluyen todas las comunicaciones comerciales emitidas online, salvo las excepciones analizadas, independientemente de la forma y el formato que los mensajes reciban (grfico, audio, audiovisual). II.2 Normativa aplicable

Las comunicaciones comerciales va electrnica no slo se regirn por la LSSICE, sino que se aplicarn otras normas, tal y como lo establece el artculo 19 LSSICE, que especifica leyes aplicables a las mismas: la propia LSSICE, su normativa y la vigente en materia comercial y de publicidad, as como la normativa de proteccin de datos. Por tanto, cuando se enven comunicaciones comerciales ser de aplicacin la Ley 34/1988, de 11 de noviembre, General de Publicidad (en adelante, LGP), que delimitar la ilicitud de las actividades publicitarias, el artculo 20 LSSICE y, supletoriamente, el Ttulo II de la Ley 7/1996, de 15 de enero, de Ordenacin del Comercio Minorista (LOCM) en lo referente a la modalidad y contenido de las comunicaciones como actividad de promocin o marketing; la Ley 26/1984, de 19 de julio, General de Defensa de los Consumidores y Usuarios (en adelante, LGDCU), y la Ley Orgnica de Proteccin de Datos (LOPD) en lo que concierne al tratamiento de datos personales. II.3 Sujetos protegidos

El envo de comunicaciones comerciales es un servicio de la Sociedad de la Informacin cuyos destinatarios son personas fsicas o jurdicas. La LSSICE ampara tanto a las personas fsicas como a las personas jurdicas destinatarias del servicio frente al envo de comunicaciones comerciales no solicitadas.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 124 de 165

Instituto Nacional de Tecnologas de la Comunicacin

II.4

Las comunicaciones comerciales no solicitadas

Como ya se expresa en la introduccin de este informe, uno de los motivos esenciales en el estudio de la situacin actual del envo de comunicaciones comerciales va electrnica es el problema que supone la recepcin de correos electrnicos no solicitados. Por tanto, al suponer en principio una actividad molesta para sus destinatarios, el legislador espaol ha establecido unos requisitos, que se procede a analizar, para poder enviar comunicaciones comerciales no solicitadas vlidamente. II.4.1 La regulacin en el derecho espaol

El prrafo primero del artculo 13 de la Directiva 2002/58/CE, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la proteccin de la intimidad en el sector de las comunicaciones electrnicas, establece que slo se podr autorizar la utilizacin de sistemas de correo electrnico con fines de venta directa respecto de aquellos abonados que hayan dado su consentimiento previo, es decir, se lleg a la postura ms beneficiosa para el destinatario estableciendo el sistema conocido como opt-in. La eleccin de dicha modalidad por el legislador comunitario, e intrnsecamente por el espaol, es importante, ya que supone apartarse del sistema americano que prohbe el envo de mensajes por correo electrnico cuando el destinatario haya manifestado previamente su oposicin a ello, es decir, el denominado sistema opt-out. Continuando con la regulacin en nuestro ordenamiento jurdico, el artculo 21 LSSICE establece que queda prohibido el envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. En primer lugar, se deber saber cundo se deben cumplir los mismos, es decir, a travs de qu medios de comunicacin queda prohibido el envo de comunicaciones publicitarias o promocionales. De la lectura del artculo se deducen dos medios a travs de los cuales quedar prohibido el envo de comunicaciones comerciales no solicitadas en el supuesto de que no se cumpla cada uno de los requisitos sealados en la normativa: a) El correo electrnico. b) comunicacin electrnica equivalente.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 125 de 165

Instituto Nacional de Tecnologas de la Comunicacin

As, el correo electrnico, que se presenta como uno de los medios de comunicacin sealados por la ley para remitir comunicaciones comerciales no solicitadas, resulta de especial inters a los efectos del presente informe. El ordenamiento jurdico espaol no contiene ninguna definicin de correo electrnico, puesto que la LSSICE no la recogi dentro de su amplio anexo de definiciones. Por tanto, se debe acudir al artculo 2 h) de la Directiva 2002/58/CE, donde se define como todo mensaje de texto, voz, sonido o imagen enviado a travs de una red de comunicaciones pblica que pueda almacenarse en la red o en el equipo terminal del receptor hasta que ste acceda al mismo. En cuanto al segundo aspecto, se incluye en la expresin comunicacin electrnica equivalente el envo de mensajes mediante telefona mvil, y se excluyen los servicios de telefona vocal, fax o tlex. II.4.2 El consentimiento en el envo de comunicaciones comerciales no solicitadas

El artculo 21.1 LSSICE establece la prohibicin de enviar comunicaciones comerciales publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Por tanto, el ordenamiento espaol obliga a las empresas a que las comunicaciones electrnicas hayan sido previamente solicitadas por los destinatarios de las mismas o a solicitar el consentimiento expreso de los destinatarios de los mensajes. En consecuencia, en cuanto al primer supuesto de que las comunicaciones hayan sido solicitadas no se plantea ningn problema, a diferencia de lo que ocurre con el segundo supuesto, que se procede a analizar. El consentimiento expreso Es precisamente en la obtencin del consentimiento donde se encuentran los principales problemas para el envo de comunicaciones comerciales, debido a que en la prctica las empresas no suelen solicitar el consentimiento expreso, sino que ofrecen simplemente la posibilidad de darse de baja del servicio enviando un mensaje de correo electrnico o accediendo a determinados enlaces. Esto, obviamente, no supone dar autorizacin expresa para recibir comunicaciones comerciales no solicitadas, sino un consentimiento tcito. Para obtener el consentimiento de los destinatarios de las comunicaciones comerciales, las empresas utilizan distintos mtodos, entre los que se pueden destacar:

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 126 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Las casillas marcadas previamente. Las llamadas casillas seleccionables. La doble manifestacin del destinatario de las comunicaciones comerciales confirmando su inscripcin mediante el envo de un mensaje automtico a su buzn.

En conclusin, la exigencia del consentimiento expreso que establece la LSSICE aumenta de modo muy importante las restricciones para el remitente de la comunicacin comercial y las garantas para el destinatario, adems de introducir un plus de exigencia respecto de la LOPD, que nicamente exige un consentimiento inequvoco, puesto que la LSSICE no permite admitir el consentimiento tcito e implcito en el envo de comunicaciones comerciales no solicitadas. En la prctica, las empresas remitentes de comunicaciones comerciales no solicitadas ya no pueden enviar correos electrnicos que ofrezcan al destinatario la posibilidad de no recibir ms promociones no solicitadas, como ocurra hasta la entrada en vigor de la LSSICE. El consentimiento incluido dentro de un proceso contractual En la mayora de ocasiones los destinatarios de las comunicaciones comerciales son los clientes de las empresas remitentes, y en este supuesto se excluye el requisito del consentimiento expreso, tal y como establece el prrafo segundo del artculo 21 LSSICE, que afirma que no ser de aplicacin el requisito del consentimiento expreso cuando exista una relacin contractual previa, siempre que el prestador hubiera obtenido de forma lcita los datos de contacto del destinatario y los empleara para el envo de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratacin con el cliente. En primer lugar, para poder el empresario eximirse del requisito de la obtencin del consentimiento cuando pretende enviar comunicaciones comerciales no solicitadas es necesario que haya existido entre ste y el futuro destinatario una relacin contractual previa, es decir, tuvo que haber existido o una venta concluida o negociaciones previas con un cliente para cualquier contrato y en cualquier momento, puesto que la ley no especifica nada ms. Por tanto, por el mero hecho de haber comprado en un determinado comercio cierto tiempo atrs, una persona puede recibir sin ser previamente avisado correos electrnicos no solicitados sobre otros productos de la firma. Adems, seala dicho artculo que, en todo caso, el prestador deber ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 127 de 165

Instituto Nacional de Tecnologas de la Comunicacin

mediante un procedimiento sencillo y gratuito, tanto en el momento de la recogida de los datos como en cada una de las comunicaciones comerciales que le dirija. II.4.3 Otros requisitos de licitud de las comunicaciones comerciales

Las comunicaciones comerciales por va electrnica que se realicen por correo electrnico u otro medio de comunicacin electrnica, adems de haber sido expresamente autorizadas, deben reunir los siguientes requisitos que recoge el artculo 20 LSSICE: Las comunicaciones comerciales debern ser claramente identificables como tales El artculo 6 DCE no incluye ninguna palabra o frase modelo, comn para todos los estados miembros y que haga ms uniforme la identificacin por los receptores de las comunicaciones comerciales, sino que exige, de forma general, que las comunicaciones comerciales como mnimo sean claramente identificables como tales, a diferencia de lo que ocurre en la legislacin estadounidense, en la cual se utiliza la expresin spam como frmula ms utilizada para especificar el contenido del mensaje. En cambio, el legislador espaol, despus de sealar el citado requisito, afirma a continuacin que en el supuesto en el que las comunicaciones comerciales se realicen a travs de correo electrnico o medios equivalentes se deber incluir al comienzo del mensaje la palabra publicidad, o la abreviatura publi si se modifica el citado artculo 20 LSSICE a travs de la promulgacin del actual Proyecto de Ley de Medidas de Impulso de la Sociedad de la Informacin. Por tanto, cuando se enven correos electrnicos comerciales no deseados se deber identificar el mismo con la palabra publicidad al comienzo del mensaje, pero el legislador no seala exactamente qu debe entenderse con la expresin al comienzo, sino que lo contempla como un lugar general, a diferencia de multitud de estados norteamericanos que exigen que conste una palabra o unas siglas al principio del encabezamiento del mensaje. Las comunicaciones comerciales debern indicar la persona fsica o jurdica en nombre de la cual se realizan los envos El objeto del legislador ha sido que el destinatario de las comunicaciones comerciales conozca su origen. No obstante, hay que tener en cuenta que el legislador seala como persona a incluir en la comunicacin comercial no solicitada la persona en nombre de quien se realiza el envo, que obviamente no tiene por qu coincidir con quien enva de hecho el mensaje. En el mbito de la publicidad, en la mayora de las ocasiones, no coincidir porque la empresa

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 128 de 165

Instituto Nacional de Tecnologas de la Comunicacin

que realiza el envo efectivo de las comunicaciones comerciales es una organizacin contratada para ello. Por tanto, esta redaccin obligar a las empresas a asegurarse de con quin contrata los servicios de distribucin de su publicidad, puesto que un mal uso de este servicio puede suponer sanciones por incumplimiento de la ley para la empresa anunciante y un deterioro de su imagen. En el supuesto de que las comunicaciones comerciales sean ofertas promocionales, como las que incluyan descuentos, premios y regalos, y de concursos o juegos promocionales se exige que se identifiquen claramente como tales y que las condiciones de acceso o participacin se expresen de forma clara e inequvoca Respecto a la expresin condiciones de acceso, deber entenderse la necesaria fijacin de la duracin de la oferta y, en su caso, las reglas especiales aplicables a la misma. En definitiva, se persigue garantizar que el anuncio de una promocin contenga un contenido realmente ventajoso al que se pueda acceder con facilidad. No obstante, hay que tener en cuenta que se est tramitando en el seno de la Unin Europea un reglamento relativo a las promociones de ventas en el mercado interior, concretamente la Propuesta COM/2001/0546 modificada por la Propuesta COM (2002) 585. La aprobacin, no a muy largo plazo, de esta propuesta de reglamento supondr, adems de la unificacin de esta materia en el Derecho europeo (campo donde existen notables diferencias), la introduccin de considerables modificaciones. Revocacin del consentimiento Adems de cumplir los requisitos anteriores cuando enven comunicaciones comerciales no solicitadas, las empresas deben ofrecer la posibilidad al destinatario de las mismas, que consinti en su da el envo de mensajes de naturaleza publicitaria, de revocar la autorizacin en cualquier momento con la mera notificacin de su voluntad al remitente, mediante la habilitacin de un procedimiento sencillo y gratuito. II.5 Infracciones y sanciones en el mbito de las comunicaciones comerciales no solicitadas

La proteccin que se dispensa y que se ha analizado sera intil si, a la vez, no se estableciera un rgimen disciplinario que garantice el cumplimiento de la legislacin. Concretamente, el artculo 37 LSSICE establece que los prestadores de servicios de la Sociedad de la Informacin, cuando les sea de aplicacin la citada ley, estarn sujetos al rgimen sancionador de la misma.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 129 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Las infracciones, recogidas en el artculo 38 LSSICE, se calificarn como muy graves, graves y leves. En relacin a la materia del presente informe pueden ser cometidas las siguientes: Son infracciones graves: 1. El envo masivo de comunicaciones comerciales por correo electrnico u otro medio de comunicacin electrnica equivalente o el envo, en el plazo de un ao, de ms de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envos no se cumplan los requisitos anteriormente mencionados. Por tanto, dicho precepto considera dos supuestos como infracciones graves: El envo de ms de tres comunicaciones comerciales en el plazo de un ao. El envo masivo de comunicaciones comerciales.

En cuanto al primer supuesto, es muy importante la cantidad de comunicaciones comerciales enviadas, puesto que si slo se puede demostrar el envo de tres comunicaciones comerciales, la infraccin sera calificada como leve y la multa difiere notoriamente de las infracciones graves, sin olvidar, adems, que estas pueden llevar aparejado el establecimiento de medidas provisionales. Respecto al segundo supuesto, a pesar de que no se recoge su significado, puede entenderse de una forma deductiva que el concepto de envo masivo de mensajes no incluye el supuesto de que se enven muchos mensajes a un solo destinatario, en cuyo caso se estara en la infraccin anterior, sino los casos en que se enva un solo mensaje a muchos destinatarios. El problema es que no se determina si dicho envo masivo se produce cuando se envan muchos correos electrnicos a la vez o cuando se enva de manera habitual mensajes prohibidos. 2. El incumplimiento significativo de la obligacin del prestador de servicios establecida en el apartado 1 del artculo 22, en relacin con los procedimientos para revocar el consentimiento prestado por los destinatarios. 3. El incumplimiento significativo de las obligaciones de informacin o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artculo 22.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 130 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Son infracciones leves: 1. El incumplimiento de lo previsto en el artculo 20 para las comunicaciones comerciales, ofertas promocionales y concursos. 2. El envo de comunicaciones comerciales por correo electrnico u otro medio de comunicacin electrnica equivalente cuando en dichos envos no se cumplan los requisitos establecidos en el artculo 21 y no constituya infraccin grave. 3. El incumplimiento de las obligaciones de informacin o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artculo 22, cuando no constituya una infraccin grave. 4. El incumplimiento de la obligacin del prestador de servicios establecida en el apartado 1 del artculo 22, en relacin con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infraccin grave. Las infracciones graves prescribirn a los dos aos y las leves, a los seis meses, de conformidad con el artculo 45 LSSICE. Respecto a las sanciones: La comisin de las infracciones que se acaban de analizar llevarn aparejadas las siguientes sanciones, tal y como establece el prrafo primero del artculo 39 de la LSSICE: 5. Por la comisin de infracciones graves, multa de 30.001 a 150.000 euros. 6. Por la comisin de infracciones leves, multa de hasta 30.000 euros. El plazo de prescripcin de las mismas es de dos aos por faltas graves y uno por faltas leves. Como se puede observar, el intervalo de la cuanta de las sanciones es bastante amplio; por dicho motivo, el artculo 40 LSSICE establece los siguientes criterios: 7. La existencia de intencionalidad. 8. El plazo de tiempo durante el que se haya venido cometiendo la infraccin. 9. La reincidencia por comisin de infracciones de la misma naturaleza, cuando as haya sido declarado por resolucin firme. 10. La naturaleza y cuanta de los perjuicios causados.
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 131 de 165

Instituto Nacional de Tecnologas de la Comunicacin

11. El volumen de facturacin a que afecte la infraccin cometida. Adems de las sanciones sealadas, las infracciones graves y muy graves podrn llevar aparejada la publicacin, a costa del sancionado, de la resolucin sancionadora en el Boletn Oficial del Estado, en el diario oficial de la Administracin Pblica que, en su caso, hubiera impuesto la sancin, en dos peridicos cuyo mbito de difusin coincida con el de la actuacin de la citada Administracin o en la pgina de inicio del sitio de Internet del prestador, una vez que aquella tenga carcter firme. El rgano competente para imponer las sanciones sealadas ser, de conformidad con el artculo 43 LSSICE, el Ministro de Ciencia y Tecnologa, en la actualidad correspondera al Ministro de Industria, Turismo y Comercio, en el caso de infracciones muy graves, y el Secretario de Estado de Telecomunicaciones y para la Sociedad de la Informacin en el supuesto de infracciones graves y leves. No obstante, la imposicin de sanciones por incumplimiento de las resoluciones dictadas por los rganos competentes en funcin de la materia o entidad de que se trate a que se refieren los prrafos a) y b) del artculo 38.2 de esta ley corresponder al rgano que dict la resolucin incumplida. Igualmente, corresponder a la Agencia Espaola de Proteccin de Datos la imposicin de sanciones por la comisin de las infracciones tipificadas en los artculos 38.3 c), d) e i) y 38.4 d), g) y h) de esta Ley. Tampoco se puede obviar el hecho de que en los procedimientos sancionadores por infracciones graves o muy graves se podrn adoptar, con arreglo a la Ley 30/1992, de 26 de noviembre, de Rgimen Jurdico de las Administraciones Pblicas y del Procedimiento Administrativo Comn y sus normas de desarrollo, las medidas de carcter provisional previstas en dichas normas que se estimen necesarias para asegurar la eficacia de la resolucin que definitivamente se dicte, el buen fin del procedimiento, evitar el mantenimiento de los efectos de la infraccin y las exigencias de los intereses generales, de conformidad con el artculo 41 de la LSSICE. En particular, podrn acordarse las siguientes: 12. Suspensin temporal de la actividad del prestador de servicios y, en su caso, cierre provisional de sus establecimientos. 13. Precinto, depsito o incautacin de registros, soportes y archivos informticos y de documentos en general, as como de aparatos y equipos informticos de todo tipo. 14. Advertir al pblico de la existencia de posibles conductas infractoras y de la incoacin del expediente sancionador de que se trate, as como de las medidas adoptadas para el cese de dichas conductas.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 132 de 165

Instituto Nacional de Tecnologas de la Comunicacin

15. Como siempre, se respetar, en todo caso, el principio de proporcionalidad de la medida a adoptar con los objetivos que se pretendan alcanzar en cada supuesto. En el supuesto que no se cumplan las medidas provisionales, el rgano administrativo competente para resolver el procedimiento sancionador podr imponer multas coercitivas por importe que no exceda de 6.000 euros por cada da que transcurra sin cumplir las medidas provisionales que hubieran sido acordadas, en virtud del artculo 42 de la LSSICE. Por ltimo, debe sealarse que estas obligaciones que garantizan la licitud de las comunicaciones comerciales no solicitadas remitidas por va electrnica van a ser exigibles tanto a los prestadores de los servicios de la Sociedad de la Informacin emplazados en Espaa, como a aquellos que se encuentren establecidos en un pas miembro de la Unin Europea o del Espacio Econmico Europeo cuando el destinatario de los servicios radique en Espaa. II.6 Responsabilidad de los intermediarios

Como se ha afirmado anteriormente, el uso de Internet puede causar daos y perjuicios a terceros que se han de reparar. La cuestin estriba en determinar qu responsabilidad tendrn los prestadores de servicios de intermediacin, ya que para poder alojar, almacenar o transmitir los contenidos ilcitos en la Red es necesaria la intervencin tcnica de los mismos. En el mbito comunitario se adopt el citado sistema de responsabilidad de los prestadores del servicio en la DCE, donde se reconocen una serie de supuestos especficos de exencin de responsabilidad que se aplicarn cuando se cumplan los requisitos sealados para cada una de ellas; en el supuesto de que no se cumplan, entrar en juego nuestro sistema general de responsabilidad. II.7 La exencin de responsabilidad civil por contenidos ajenos en Internet

Las exenciones de responsabilidad establecidas tanto en la DCE como en la LSSICE slo se aplican a aquellos casos en que la actividad del prestador de servicios de la Sociedad de la Informacin se limita al proceso tcnico de explotar y facilitar el acceso a una red de comunicacin mediante la cual la informacin facilitada por terceros es transmitida o almacenada temporalmente, con el fin de hacer que la transmisin sea ms eficiente. Por tanto, el hecho de que los contenidos que un prestador del servicio transmite o almacena hayan sido proporcionados por terceros, esto es, que sean contenidos ajenos al prestador de servicios de intermediacin, resulta esencial desde el punto de vista de la exencin de responsabilidad, ya que en el supuesto que sea el propio prestador de
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 133 de 165

Instituto Nacional de Tecnologas de la Comunicacin

servicios el que coloca en la Red o transmite contenidos propios, las exenciones de responsabilidad no podran aplicarse, y se acudira a las reglas generales de responsabilidad civil, penal y administrativa establecidas en el ordenamiento jurdico espaol. Las exenciones que se establecen se pueden agrupar en las siguientes categoras: Los servicios de mera transmisin de datos y de provisin de acceso a Internet. La prestacin del servicio de hosting o almacenamiento de datos. El caching o servicio de realizacin y almacenamiento de copias.

Como se observa, se reconocen las exenciones conforme a la naturaleza de la actividad realizada y no respecto a la condicin del sujeto. Puede ocurrir que el prestador del servicio no cumpla cada uno de los requisitos que se vern ms delante de cada una de estas exenciones y, por tanto, no se le puedan aplicar; ello no determina que se le atribuya responsabilidad, puesto que se procedera a analizar si en la actuacin del prestador del servicio concurren los elementos exigidos por nuestro rgimen general de responsabilidad. II.7.1 Los servicios de mera transmisin de datos y de provisin de acceso a Internet

El primer supuesto de exencin se recoge en el prrafo primero del artculo 12 DCE, de donde se deduce que el prestador del servicio no podr ser considerado responsable de los datos transmitidos cuando haya cumplido con los siguientes requisitos: 16. No haber originado l mismo la transmisin, es decir, cuando el prestador no haya creado el contenido ni tampoco haya sido quien haya tomado la iniciativa de realizar la transmisin concreta, convirtindose en un simple ejecutor de la orden de envo de las comunicaciones comerciales, frecuentemente dada por el titular o anunciante de los bienes y servicios publicitados en la comunicacin comercial. 17. No haber seleccionado al destinatario de la transmisin, ya que si los prestadores eligen a los destinatarios de la transmisin ya no sera una simple actividad de intermediacin, pasiva y automtica, sino una accin activa y de control sobre uno de los elementos de la transmisin: los destinatarios. 18. No haber seleccionado ni modificado los datos transmitidos.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 134 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Esta exencin de responsabilidad se establece en trminos sustancialmente idnticos en el artculo 14 LSSICE. No obstante, en este ltimo punto el citado precepto aade la especificacin de que no se entiende por modificar la informacin, la manipulacin estrictamente tcnica de los archivos que alberguen los datos que tiene lugar durante su transmisin". Para que el prestador de servicios pueda disfrutar de la exencin debe cumplir los tres requisitos citados. En la medida en que no concurra alguno de ellos no se podr aplicar la exencin. Por ltimo, es necesario sealar la posibilidad de que un tribunal o una autoridad exijan al prestador de servicios que suspenda la transmisin de contenidos ilcitos, de conformidad con el prrafo tercero del artculo 12 DCE. Si se produjera el supuesto sealado y se solicitara al prestador la finalizacin de su actuacin, el cumplimiento de dicha orden no se establece en el texto comunitario como requisito para gozar de la exencin y, por tanto, el incumplimiento de la misma no implicar la prdida de la exencin si se dan las condiciones establecidas. En nuestro ordenamiento jurdico, en el prrafo primero del artculo 11 LSSICE se contempla expresamente la posibilidad de que se pueda ordenar a los prestadores de estos servicios que suspendan la transmisin, el alojamiento de datos, el acceso a las redes de telecomunicaciones o la prestacin de cualquier otro servicio equivalente de intermediacin que realizaran, y, de modo general, para todos los servicios de intermediacin cuando un rgano competente por razn de la materia, en el ejercicio de las funciones que legalmente tenga atribuidas, hubiera decretado la interrupcin de la prestacin de un servicio de la Sociedad de la Informacin o la retirada de determinados contenidos provenientes de prestadores establecidos en Espaa, y para ello fuera necesaria la colaboracin de los prestadores de servicios de intermediacin. II.7.2 La prestacin del servicio de hosting

Se entiende por hosting, de conformidad con el artculo 14 DCE, el servicio de la Sociedad de la Informacin consistente en almacenar datos facilitados por el destinatario del servicio. Las condiciones que se deben cumplir para disfrutar de la exencin de responsabilidad en la prestacin del servicio de alojamiento son las siguientes: 19. Falta de conocimiento efectivo de la ilicitud de la actividad o de la informacin que se alberga, con carcter general para cualquier tipo de responsabilidad, tanto civil como penal.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 135 de 165

Instituto Nacional de Tecnologas de la Comunicacin

La Directiva no especifica qu deber entenderse por "conocimiento efectivo", pero se evidencia que no basta conocer efectivamente la existencia de una actividad o de unos datos, sino que es necesario conocer la calificacin jurdica de ilcitos de los mismos. 20. Actuar con prontitud para retirar los datos o para hacer que el acceso a los mismos sea imposible despus de que el prestador adquiere un conocimiento efectivo de la ilicitud, y en el caso de una accin de daos y perjuicios desde el momento en que conoci hechos o circunstancias reveladores de la ilicitud. El artculo 16 LSSICE recoge la citada exencin de responsabilidad para los servicios de alojamiento en trminos muy similares a los empleados por la Directiva, pero distingue entre el conocimiento efectivo de que la actividad o la informacin almacenada sea ilcita o de que lesione bienes o derechos de un tercero susceptibles de indemnizacin. No obstante, el citado artculo trata de concretar el significado de esa exigencia de conocimiento efectivo sealando que sin perjuicio de los procedimientos de deteccin y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse, se entender que el prestador de servicios tiene conocimiento efectivo de que la actividad o la informacin almacenada es ilcita o de que lesiona bienes o derechos de un tercero susceptibles de indemnizacin cuando un rgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesin y el prestador conociera la correspondiente resolucin. Por tanto, se deduce del precepto que existen otros dos supuestos que pueden dar lugar, en su caso, a un resultado equivalente: Los procedimientos de deteccin y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios, es decir, procedimientos de deteccin y retirada que hayan sido pactados con entidades de gestin de derechos de propiedad intelectual, donde el prestador se obligara a retirar el material de que se trate una vez cumplidos los requisitos de procedimiento consensuados. Otros medios de conocimiento efectivo que pudieran establecerse, como, por ejemplo, cdigos de conducta a los que se haya adherido el prestador y que debern ser aceptados por quien proporciona contenidos, en la medida en que este deber permitir al prestador la libre retirada de la informacin cuando, de conformidad con lo establecido en el cdigo de conducta, resulte pertinente.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 136 de 165

Instituto Nacional de Tecnologas de la Comunicacin

No obstante, se entiende que el citado listado sirve de ejemplo y, en todo caso, el rgano judicial competente deber apreciar si el prestador tuvo o no conocimiento efectivo de la ilicitud de la informacin por cualquier medio de prueba admitido en Derecho. Teniendo en cuenta que para que sea aplicable la exencin por el servicio de alojamiento se requiere que los contenidos sean ajenos, el artculo 14.2 DCE y el 16.2 LSSICE establecen que cuando el destinatario del servicio acta bajo la autoridad o el control del prestador de servicios, la exencin de responsabilidad no le ser de aplicacin, ya que en este supuesto el prestador del servicio no acta como un mero intermediario. Por ltimo, de acuerdo con el artculo 14.3 DCE, la exencin en el servicio de alojamiento de datos no afectar a la "posibilidad de que un tribunal o una autoridad administrativa, de conformidad con los sistemas jurdicos de los Estados miembros, exijan al prestador de servicios poner fin a una infraccin o impedirla, ni a la posibilidad de que los Estados miembros establezcan procedimientos por los que se rija la retirada de datos o impida el acceso a ellos". Si la orden consiste en que se retire determinada informacin o se bloquee el acceso a la misma, su incumplimiento equivale a no cumplir con uno de los requisitos expresamente previstos para el otorgamiento de la exencin: el de actuar "con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible" y, en consecuencia, no se aplica la exencin de responsabilidad. II.7.3 La exencin de responsabilidad por caching de datos

El denominado caching se regula en el artculo 13 DCE y el artculo 15 LSSICE, donde se exige a los Estados miembros que cuando se preste un servicio de la Sociedad de la Informacin consistente en transmitir por una red de comunicaciones datos facilitados por el destinatario del servicio, el prestador del servicio no pueda ser considerado responsable del almacenamiento automtico, provisional y temporal de esta informacin, realizado con la nica finalidad de hacer ms eficaz la transmisin ulterior de la informacin a otros destinatarios del servicio, a peticin de stos, siempre que no modifique la informacin y cumpla con los siguientes requisitos: Cumplir las condiciones de acceso a la informacin a nivel comunitario y las condiciones impuestas a tal fin, por el destinatario cuya informacin se solicita a nivel nacional; es decir, el prestador del servicio que tiene una copia cach de un determinado sitio web debe exigir a los usuarios que le soliciten visitarlo las mismas condiciones que impone la web original. Cumplir las normas relativas a la actualizacin de la informacin, con el objetivo de evitar que las copias en memoria cach queden obsoletas y muestren una

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 137 de 165

Instituto Nacional de Tecnologas de la Comunicacin

informacin distinta de la que se ofrece en el sitio original que pueda producir daos y perjuicios. No interferir en la utilizacin lcita de tecnologa ampliamente reconocida y utilizada por el sector con el fin de obtener datos sobre la utilizacin de la informacin en los mbitos comunitario y estatal, para lo cual se precisa que el prestador no interfiera en la utilizacin lcita de tecnologa generalmente aceptada y empleada por el sector, con el fin de obtener datos sobre la utilizacin de la informacin. Actuar con prontitud para retirar la informacin que haya almacenado, o hacer que el acceso a ella sea imposible, en cuanto tenga conocimiento efectivo del hecho de que la informacin ha sido retirada del lugar de la red en el que se encontraba inicialmente, de que se ha imposibilitado el acceso a dicha informacin o de que un tribunal o una autoridad administrativa ha ordenado retirarla o impedir que se acceda a ella. Por tanto, no basta con que la actividad coincida con la descrita en el supuesto de hecho, sino que el beneficio de la exencin depender de que el prestador haya cubierto adems los siguientes mnimos de diligencia que la propia Directiva determina. II.8 Las obligaciones de supervisin y comunicacin

De acuerdo con el prrafo primero del artculo 15 DCE, los estados miembros no pueden imponer a los prestadores de servicios una obligacin general, ya sea de supervisar los datos que transmitan o almacenen o bien de realizar bsquedas activas de hechos o circunstancias que indiquen actividades ilcitas en relacin a los servicios de alojamiento, tanto en los servicios de transmisin de datos, como en los de provisin de acceso a la Red, caching o hosting. La Directiva comunitaria no slo excluye la obligacin de supervisin o control en trminos generales, sino que prohbe incluso la obligacin de conservacin o retencin del trfico de los datos. En cambio, el artculo 12.1 LSSICE estableci la obligacin de los prestadores del servicio de retener los datos relativos a las comunicaciones electrnicas por un periodo mximo de 12 meses. II.9 El spam y la proteccin de datos de carcter personal

Una vez analizado el rgimen jurdico de las comunicaciones comerciales es necesario efectuar un estudio de la misma para que todo el proceso de envo de correos electrnicos comerciales no deseados se realice correctamente en cuanto a la obtencin de los datos y al propio envo de las mismas. Hay que tener en cuenta que el envo de las comunicaciones comerciales depende, en primer lugar, de las condiciones en que las

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 138 de 165

Instituto Nacional de Tecnologas de la Comunicacin

empresas hayan recogido una serie de datos personales donde enviar las mismas en general y las direcciones de correo electrnico en particular (en este sentido, se pronuncia un Informe de 1999 de la Comisin Nacional de Informtica y Libertades de Francia, que sealaba que el envo de mensajes electrnicos se basa en la recogida previa de direcciones electrnicas). As mismo hay que recordar que, de conformidad con el artculo 19 LSSICE, es aplicable la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal (LOPD), II.9.1 El derecho al tratamiento de datos de carcter personal

En primer lugar, se debe afirmar que cuando se habla del derecho al tratamiento de datos de carcter personal se entiende por tal el derecho fundamental a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegtimo del tratamiento automatizado de datos, y que permite acceder, rectificar y cancelar la informacin almacenada y disponer de los propios datos personales, tal y como lo reconoce el Tribunal Constitucional, en las STC 254/1993, de 9 de mayo (RTC 1993\254) o STC 11/1998, de 13 de enero (RTC 1998\11), entre otras. Para finalizar con este epgrafe es importante matizar que, en la actualidad, se debe hablar del derecho a la proteccin de datos de carcter personal, cuyo contenido ser el mismo que se ha mencionado, ya que tras la entrada en vigor de la LOPD el mbito de aplicacin de este derecho, recogido en el artculo 2, se extiende a todos los datos de carcter personal registrados en soporte fsico, es decir, tanto en soporte papel como en soporte informtico o telemtico, siempre que sean susceptibles de tratamiento, quedando obsoleto, por tanto, el trmino informtica que calificaba a esta pretendida libertad. II.10 La Ley 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal II.10.1 Titularidad El ordenamiento jurdico espaol limita a las personas fsicas la titularidad de la proteccin del derecho a la proteccin de datos de carcter personal, a diferencia de la LSSICE, que incluye tanto a personas fsicas como jurdicas. La exclusin de las personas jurdicas del amparo de este derecho se deduce del artculo 3 a) LOPD, que establece que los datos de carcter personal son cualquier informacin concerniente a personas fsicas identificadas o identificables, y e) al considerar como afectado o interesado a la persona fsica titular de los datos que sean objeto del tratamiento. En el mismo sentido se pronuncia la Agencia Espaola de Proteccin de Datos, que en el Fundamento Jurdico II de la Resolucin de 27 de febrero de 2001 ha afirmado que la proteccin conferida por la LOPD no es aplicable a las personas jurdicas, que no gozarn
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 139 de 165

Instituto Nacional de Tecnologas de la Comunicacin

de ninguna de las garantas establecidas en la ley y, por extensin, lo mismo ocurrir con los profesionales que organizan su actividad bajo la forma de empresa, ostentando, en consecuencia, la condicin de comerciante a la que se refieren los artculos primero y siguientes del Cdigo de Comercio, y con los empresarios individuales que ejercen una actividad comercial y respecto de los cuales sea posible diferenciar su actividad mercantil de su propia actividad privada. Por tanto, se incluye en el concepto de personas fsicas aquellos profesionales liberales que no tuvieran organizada su actividad profesional bajo la forma de empresa, es decir, que no posean la condicin de comerciante, y los empresarios individuales cuando no fuera posible diferenciar su actividad mercantil de su propia actividad privada, y se excluyen tanto las personas jurdicas como los profesionales y los comerciantes individuales, cuando sus datos hayan sido tratados tan slo en su consideracin de empresarios. II.10.2 Concepto de dato personal De acuerdo con el artculo 3 a) de la LOPD, se entiende por dato personal cualquier informacin concerniente a personas fsicas identificadas o identificables (definicin coincidente con el artculo 8 de la Carta de los Derechos Fundamentales de la Unin Europea), de modo que el carcter personal del dato viene determinado por el hecho de ser concerniente a una persona fsica, no por ser un dato a travs del cual se identifica a una persona. Es decir, lo relevante no es que el dato personal permita identificar a una persona, sino que dicha informacin debe estar referida o ser relativa a una persona fsica, quien puede estar identificada o ser identificable, segn lo ha afirmado el Tribunal Constitucional en los fundamentos jurdicos sexto y sptimo de la Sentencia 292/2000, de 30 de noviembre. En parecidos trminos se pronuncia la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos. Concretamente, el artculo 2 a) establece esa consideracin de identificable en la posibilidad de determinar, directa o indirectamente, la identidad de una persona mediante un nmero de identificacin o uno o varios elementos especficos caractersticos de su identidad fsica, fisiolgica, psquica, econmica, cultural o social. Para intentar dilucidar el concepto de dato personal, se debe acudir al artculo 1.4 del Real Decreto 1332/1994, por el que se desarrollan determinados aspectos de la Ley Orgnica 5/1992, de 29 de octubre, de Regulacin del Tratamiento Automatizado de los Datos de carcter personal, que lo define como toda informacin numrica, alfabtica, grfica, fotogrfica, acstica o de cualquier otro tipo, susceptible de ser recogida, registro, tratamiento o transmisin, concerniente a una persona fsica identificada o identificable.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 140 de 165

Instituto Nacional de Tecnologas de la Comunicacin

La vaguedad y amplitud del trmino dato personal no permite ofrecer una respuesta clara e inmediata de qu datos concretamente se incluyen en la consideracin de personales y, en particular, si la direccin de correo electrnico puede ser amparada por dicha expresin. Por ello, se procede a analizar la cuestin de manera especfica. La direccin de correo electrnico como dato personal En primer lugar, se debe recordar que se entiende por dato personal cualquier informacin concerniente a personas fsicas identificadas o identificables. Por tanto, han de darse dos circunstancias para que se pueda entender que son datos de carcter personal: que exista una informacin y que se refiera a una persona que sea identificable o est identificada. Se ha discutido mucho acerca de la consideracin de la direccin de correo electrnico como dato personal, cuestin muy importante a los efectos de remitir comunicaciones comerciales no solicitadas, sobre todo en relacin a aquellas direcciones que no aparecen vinculadas a la persona que la utiliza. Por ello, se pueden distinguir dos clases de direcciones de correo electrnico, atendiendo al grado de identificacin que la misma realiza con el titular de la cuenta de correo: Aquellas en que voluntaria o involuntariamente la direccin de correo electrnico contenga informacin acerca de su titular, pudiendo aludir tanto a su nombre y apellidos como a la empresa en que trabaja o a su pas de residencia. En este supuesto, no existe duda de que la direccin de correo electrnico identifica, incluso de forma directa al titular de la cuenta, por lo que en todo caso la direccin ha de ser considerada como dato de carcter personal. El modelo caracterstico de este supuesto sera aquella direccin de correo electrnico en la que se hace constar el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondindose el dominio de primer nivel con el propio del pas en que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso as delimitarse el centro de trabajo en que se realiza la prestacin). Un segundo supuesto sera aquel en que, en principio, la direccin de correo electrnico no parece mostrar datos relacionados con la persona titular de la cuenta, por referirse, por ejemplo, a una denominacin abstracta o a una simple combinacin alfanumrica sin significado alguno. Un primer examen de este tipo de direccin de correo electrnico podra afirmar que este supuesto no es un dato de carcter personal. Sin embargo, incluso en
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 141 de 165

Instituto Nacional de Tecnologas de la Comunicacin

este caso la direccin de correo electrnico aparecer necesariamente referenciada a un dominio concreto, de tal forma que podr procederse a la identificacin del titular mediante la consulta del servidor en que se gestione dicho dominio. No pueda considerarse que esto lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificacin, siguiendo los pronunciamientos tanto del Grupo de Trabajo sobre Proteccin de Datos del artculo 29 de la Comisin en el documento de trabajo Privacidad en Internet: enfoque comunitario integrado de la proteccin de datos en lnea, de 21 de noviembre de 2000, como de la Agencia Espaola de Proteccin de Datos en su Memoria 1999. Es decir, la direccin IP necesariamente vinculada a la direccin de correo electrnico tambin puede revelarnos datos personales del usuario. Por ello, se procede a analizar en profundidad la consideracin de la direccin IP como dato de carcter personal. La direccin IP como dato personal Al respecto se ha pronunciado la Agencia Espaola de Proteccin de Datos en el Informe 327/2003, afirmando que la direccin IP es un dato de carcter personal, principalmente sobre la base de que los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP. Por ejemplo, un proveedor de acceso a Internet que tiene un contrato con un abonado, normalmente mantiene un fichero histrico con la direccin IP (fija o dinmica) asignada, el nmero de identificacin del abonado, la fecha, la hora y la duracin de la asignacin de direccin. Es ms, si el usuario de Internet est utilizando una red pblica de telecomunicaciones, como un telfono mvil o fijo, la compaa telefnica registrar el nmero marcado, junto con la fecha, la hora y la duracin, para la posterior facturacin. En consecuencia, con la asistencia de terceras partes responsables de la asignacin se puede identificar a un usuario de Internet, es decir, obtener su identidad civil (nombre, direccin, nmero de telfono, etctera), por medios razonables y, por tanto, puede hablarse de datos de carcter personal en el sentido de la letra a) del artculo 3 LOPD. En conclusin, se debe afirmar rotundamente que el correo electrnico, en todo caso, independientemente de su manifestacin, es un conjunto de datos personales del usuario y como tal, se encuentra amparado por la LOPD. II.10.3 El consentimiento del titular de los datos De forma semejante a lo que suceda con el envo de comunicaciones comerciales no solicitadas, para las que era necesaria la obtencin del consentimiento del destinatario, la

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 142 de 165

Instituto Nacional de Tecnologas de la Comunicacin

regla general en materia de tratamiento de datos personales es la exigencia de recabar el consentimiento. En el contexto del rgimen jurdico en el tratamiento de datos de carcter personal, el artculo 3 h) LOPD define el consentimiento del interesado como toda manifestacin de voluntad, libre, inequvoca, especfica e informada mediante la que consiente en el tratamiento de datos que le conciernen. La LOPD establece tres formas de obtener el consentimiento para el tratamiento, segn a qu clase de datos de carcter personal se haga referencia: Para la obtencin y tratamiento de datos de carcter personal es necesario tener el consentimiento inequvoco del titular de los datos salvo que la ley disponga otra cosa. Para los datos de carcter personal relacionados con las creencias, ideologa o religin, la necesidad de que el titular de los mismos otorgue su consentimiento expreso y por escrito para que puedan ser tratados. Para los datos que hagan referencia al origen racial, a la salud y a la vida sexual es necesario que otorgue el consentimiento expreso.

En principio, la direccin de correo electrnico es un dato de carcter personal que no hace referencia a las creencias, a la ideologa, a la religin, al origen racial, a la salud ni a la vida sexual del titular. En consecuencia, es necesario slo el consentimiento inequvoco. La LOPD habla nicamente de consentimiento inequvoco, por lo que se incluye en dicho concepto no slo el consentimiento expreso sino tambin el consentimiento tcito, siempre y cuando se otorgue al afectado un plazo prudencial para que pueda claramente tener conocimiento de su omisin de oponerse al tratamiento de sus datos. No se puede obviar el hecho de que el consentimiento es susceptible de revocacin cuando exista causa justificada, es decir, cuando existe una quiebra de la confianza entre el afectado y el responsable del fichero, de modo que se podra solicitar la cesacin del tratamiento de datos con la simple alusin a la voluntad de preservar su derecho a la intimidad. Excepciones al consentimiento El rgimen general del consentimiento del titular de los datos personales se excepta en los siguientes supuestos: a) Cuando los datos personales se recojan para el ejercicio de las funciones propias de las administraciones pblicas en el mbito de sus competencias.
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 143 de 165

Instituto Nacional de Tecnologas de la Comunicacin

b) Cuando se refieran a las partes de un contrato o precontrato de una relacin de negocios, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento. c) Cuando el tratamiento de los datos especialmente protegidos resulte necesario para la prevencin o para el diagnstico mdico, la prestacin de asistencia sanitaria o tratamientos mdicos o la gestin de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligacin equivalente de secreto o cuando el tratamiento tenga por finalidad proteger el inters vital del interesado en el supuesto de que est fsica o jurdicamente incapacitado para dar su consentimiento. d) Cuando los datos figuren en fuentes accesibles al pblico y su tratamiento sea necesario para la satisfaccin del inters legtimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos. Se debe profundizar sobre la ltima excepcin, ya que los remitentes de comunicaciones comerciales no solicitadas suelen obtener los datos personales de fuentes accesibles al pblico. Se consideran como fuentes accesibles al pblico, segn el artculo 3 j) LOPD, aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin ms exigencia que, en su caso, el abono de una contraprestacin y, exclusivamente, el censo promocional, los repertorios telefnicos en los trminos previstos regulados, las listas de personas pertenecientes a grupos profesionales que contengan nicamente los datos de nombre, ttulo, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo, los diarios y boletines oficiales y medios de comunicacin. Es importante averiguar si esta lista que establece la LOPD como medios accesibles al pblico es una lista numerus clausus o numerus apertus, es decir, es una lista cerrada en la cual no cabe ningn otro tipo de medio accesible al pblico o es simplemente una enumeracin exhaustiva en la que se puede incluir con tal consideracin otra fuente de acceso, ya que en el entorno tecnolgico en el que se desarrolla el objeto de investigacin del presente informe, Internet se ha convertido en la mayor base de datos de carcter personal. En un primer momento, tal y como se configura Internet un medio de comunicacin en el que se vierten mltiples informaciones y de acceso libre a todos los usuarios conectados a la Red, se podra pensar que la recopilacin de direcciones de correo electrnico sin necesidad de recabar el consentimiento del afectado estara permitido.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 144 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Por el contrario, la Agencia Espaola de Proteccin de Datos en el Informe del ao 2000 se ha pronunciado al respecto afirmando que no considera que la procedencia de los datos recogidos en Internet sea la de fuente accesible al pblico, siendo necesario, por lo tanto, la obtencin del consentimiento inequvoco, especfico e informado del afectado para realizar tratamientos con los datos personales publicados en Internet, aunque estos se hayan publicado de forma que cualquier usuario de Internet pueda acceder a los mismos. Sin embargo, se debe sealar que el carcter de fuente accesible tiene una serie de limitaciones, ya que cuando los datos aparezcan editados en forma de libro u otro soporte fsico la nueva edicin har decaer el mismo, en virtud del prrafo tercero del artculo 28 LOPD y en el caso de que se obtenga copia de la lista en formato electrnico, esta perder el carcter de fuente accesible al pblico en el plazo de un ao contando desde el momento de la obtencin. Del mismo modo, el transcurso del ao hace perder la vigencia de los datos recogidos en el censo promocional, de conformidad con el prrafo segundo del artculo 31 LOPD. Incluso en el supuesto de que se entendiera que Internet tiene la consideracin de fuente accesible al pblico, es imprescindible, para que concurra la excepcin, que dicho tratamiento sea necesario para satisfacer el inters legtimo perseguido por el responsable del fichero o por el tercero a quien se comuniquen los datos y, en este sentido, sera cuestionable si como inters legitimo cabra entender el envo de publicidad, promociones u ofertas. Como complemento a la excepcin del consentimiento se prev, en el prrafo cuarto del artculo 6 LOPD, el derecho de oposicin, que consiste en la negativa a la continuacin del tratamiento, es decir, la cancelacin genrica respecto de todos los datos que pudieran estar sometidos. Dicho precepto establece que en los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin personal. En tal supuesto, el responsable del fichero excluir del tratamiento los datos relativos al afectado. El prrafo cuarto del artculo 30 LOPD, por su parte, contempla el derecho de oposicin, pero respecto de los tratamientos de datos con fines de prospeccin comercial y publicidad directa al sealar que los interesados tendrn derecho a oponerse, previa peticin y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso sern dados de baja del tratamiento, cancelndose las informaciones que sobre ellos figuren en aqul, a su simple solicitud.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 145 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Al respecto se debe plantear cul es el plazo de validez de la declaracin sobre la oposicin del consumidor al tratamiento de sus datos, es decir, hasta cundo debe entenderse vigente esa manifestacin de oposicin al tratamiento y de exclusin a aparecer en las fuentes accesibles al pblico. La postura mayoritaria entiende que con la actualizacin del censo o la publicacin de una nueva gua decae la manifestacin emitida. El rgimen del consentimiento para la cesin de datos personales El artculo 3 i) LOPD define la cesin o comunicacin de datos como toda revelacin de datos realizada a una persona distinta del interesado. El artculo 11 LOPD establece como regla general en la cesin de datos la necesidad de obtener el consentimiento del interesado, al igual que suceda para el tratamiento de datos personales. Dicho consentimiento, tambin como en el caso del tratamiento de datos, tiene un carcter revocable, aunque en este caso no se exige la concurrencia de causa justificada. Se establece, asimismo, que ser considerado nulo el consentimiento prestado para la cesin o comunicacin, segn el artculo 11 en su prrafo tercero, cuando la informacin que se facilite al interesado no le permita conocer la finalidad a que destinarn los datos cuya comunicacin se autoriza o el tipo de actividad de aqul a quien pretende comunicar. Esta regla general de exigencia para la cesin de datos personales del previo consentimiento del interesado no se aplicar, segn el prrafo segundo del citado precepto, en los siguientes casos: Cuando la cesin est autorizada en una ley. Cuando se trate de datos recogidos de fuentes accesibles al pblico. Cuando el tratamiento responda a la libre y legtima aceptacin de una relacin jurdica cuyo desarrollo, cumplimiento y control implique necesariamente la conexin de dicho tratamiento con ficheros de terceros. En este caso, la comunicacin slo ser legtima en cuanto se limite a la finalidad que la justifique, lo que debe interpretarse en sentido estricto o restringido y no permitir otras cesiones que las estrictamente necesarias para la ejecucin de lo contratado. Cuando la comunicacin que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los jueces o tribunales o el Tribunal de Cuentas,

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 146 de 165

Instituto Nacional de Tecnologas de la Comunicacin

en el ejercicio de las funciones que tienen atribuidas, o a instituciones autonmicas anlogas al Defensor del Pueblo o al Tribunal de Cuentas. Cuando la cesin se produzca entre administraciones pblicas y tenga por objeto el tratamiento posterior de los datos con fines histricos, estadsticos o cientficos. Cuando la cesin de datos personales relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar estudios epidemiolgicos en los trminos establecidos en la legislacin sobre sanidad estatal o autonmica.

II.10.4 El deber de informacin en la recogida de datos El llamado deber de informacin en la recogida de datos se establece en el artculo 5 LOPD y su contenido vara dependiendo de las diferentes modalidades de recogida de datos. Modalidad directa de obtencin de datos Esta modalidad consiste en obtener la direccin de correo electrnico del propio titular, en cuyo caso los interesados a los que soliciten datos personales debern ser previamente informados, de modo expreso, preciso e inequvoco de las siguientes cuestiones: De la existencia de un fichero o tratamiento de datos de carcter personal, y de los destinatarios de la informacin. De la finalidad de la recogida de los datos, puesto que los mismos deben ser adecuados, pertinentes y no excesivos en funcin de la finalidad o finalidades para los que se han obtenido. Adems, se exige una compatibilidad entre los fines para los que los datos fueron recogidos y los fines a los que efectivamente se destina su tratamiento, ya que si se quisiera utilizar un determinado dato con una finalidad distinta para la que se hubiera obtenido, sera necesario contar de nuevo con el requisito de la obtencin del consentimiento. Del carcter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. De las consecuencias de la obtencin de los datos o de la negativa a suministrarlos. De la posibilidad de ejercitar los derechos de acceso, oposicin y rectificacin y cancelacin.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 147 de 165

Instituto Nacional de Tecnologas de la Comunicacin

De la identidad y direccin del responsable del tratamiento, es decir, segn el artculo 3 d) LOPD la persona fsica o jurdica, de naturaleza pblica o privada u rgano administrativo que decida sobre la finalidad, contenido y uso del tratamiento, o, en su caso, de su representante.

Adems de los extremos anteriores, cuando la recogida de los datos personales sea a travs de Internet, deber constar el cdigo de inscripcin asignado por el Registro General de Proteccin de Datos con el fin de asegurar el conocimiento del interesado de la posibilidad de ejercitar los derechos de acceso, cancelacin y modificacin, de conformidad con las recomendaciones de la Agencia de Proteccin de Datos al sector del comercio electrnico, para la adecuacin de su funcionamiento a la LOPD. En cuanto a la manera de facilitar la citada informacin, la ley es tajante en este aspecto. De acuerdo con el artculo 5 LOPD, los interesados a los que se soliciten datos personales debern estar previamente informados de modo expreso, preciso e inequvoco, por lo que dicha informacin deber ser perfectamente visible en el proceso de recogida de los datos. Adems, se debe pensar en los distintos mtodos de recogida de los mismos: Si se utilizan cuestionarios u otros impresos para la recogida de los datos figurarn en los mismos, en forma claramente legible, los extremos anteriormente analizados. Si los datos se recogen a travs de una pgina web, deber hacerse expresa referencia a estas cuestiones en el formulario correspondiente, no bastando la simple inclusin de esta informacin en un aviso legal o poltica de privacidad ubicado en otra pgina distinta dentro del sitio web, ni la mera mencin en las clusulas adicionales a las condiciones generales que rigen la vinculacin del vendedor con el comprador al hecho de que los datos que se faciliten sern protegidos de acuerdo a la ley. No obstante, la Agencia Espaola de Proteccin de Datos, en su Memoria de 2001, seala que cabe la posibilidad de obtener dicha informacin a la que se ha hecho referencia mediante un clic en un botn adecuadamente etiquetado, aunque no se considere la opcin ms adecuada. Se debe concluir este apartado sealando que no ser necesario contemplar el carcter obligatorio o facultativo de su respuesta a las preguntas que son planteadas, las consecuencias de la obtencin de los datos o de la negativa a suministrarlos y la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin, si se deduce claramente de la naturaleza de los datos personales que se solicitan o de las circunstancias en que se recaban.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 148 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Modalidad indirecta de obtencin de datos En este supuesto los datos de carcter personal no han sido recabados del interesado, sino que la direccin de correo electrnico se ha obtenido de otra empresa por cesin de datos o incluso por otra persona. En este supuesto, el prrafo cuarto del artculo 5 LOPD establece la obligacin del responsable del fichero o su representante de informar de forma expresa, precisa e inequvoca al interesado de los extremos que contempla el derecho de informacin, que se han analizado en el apartado anterior, dentro de los tres meses siguientes al momento del registro de los datos. Esta obligacin supone que necesariamente el remitente debe ponerse en contacto con los futuros destinatarios de comunicaciones comerciales para cumplir estos requisitos, aunque sea a travs del correo electrnico. No obstante, esta obligacin se elimina cuando el interesado ya hubiera sido informado con anterioridad del contenido del tratamiento de la procedencia de dichos datos, de la existencia de un fichero o tratamiento de datos de carcter personal, de la finalidad de la recogida de estos, de los destinatarios de la informacin, de la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y oposicin y de la identidad y direccin del responsable del tratamiento o, en su caso, de su representante. Obtencin de datos de fuentes accesibles al pblico Si la direccin de correo electrnico se obtiene por fuentes accesibles al pblico y se destina a actividades de publicidad o prospeccin comercial, en cada comunicacin que se dirija al interesado se le informar del origen de los datos, de la identidad del responsable del tratamiento y de los derechos de acceso, cancelacin, rectificacin y oposicin a los mismos. La cesacin del deber de informacin se justifica en estos supuestos, ya que el interesado tiene la oportunidad de oponerse a la inclusin de forma genrica segn se dispone en el artculo 28 LOPD, que establece que los interesados tendrn derecho a exigir gratuitamente la exclusin de la totalidad de sus datos personales que consten en el censo promocional por las entidades encargadas del mantenimiento de dichas fuentes. Del mismo modo, los profesionales que constan en las guas elaboradas por los colegios profesionales tienen derecho a que la entidad responsable del mantenimiento de los listados indique gratuitamente que sus datos personales no pueden utilizarse para fines de publicidad o prospeccin comercial.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 149 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Al respecto, tambin se pronuncia el artculo 38.6 de la Ley 32/2003 General de Telecomunicaciones, que establece que en la elaboracin y comercializacin de las guas de abonados a los servicios de comunicaciones electrnicas y la prestacin de los servicios de informacin se garantizar, en todo caso, a los abonados el derecho a la proteccin de sus datos personales, incluyendo el de no figurar en dichas guas. II.11 Rgimen sancionador de la LOPD El artculo 43 LOPD establece que estarn sujetos al rgimen sancionador los responsables de los ficheros y los encargados de los tratamientos. Las infracciones, del mismo modo que ocurra con la LSSICE, se calificarn como leves, graves o muy graves, de conformidad con el artculo 44 LOPD. Se procede a sealar las infracciones que se podrn cometer en el mbito del estudio del presente trabajo: Infracciones leves:

a) No atender, por motivos formales, la solicitud del interesado de rectificacin o cancelacin de los datos personales objeto de tratamiento cuando legalmente proceda. b) Proceder a la recogida de datos de carcter personal de los propios afectados sin proporcionarles la informacin que seala el artculo 5 LOPD. Infracciones graves:

a) Proceder a la recogida de datos de carcter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que este sea exigible. b) Tratar los datos de carcter personal o usarlos posteriormente con conculcacin de los principios y garantas establecidos en la LOPD o con incumplimiento de los preceptos de proteccin que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infraccin muy grave. c) Impedir u obstaculizar el ejercicio de los derechos de acceso y oposicin y la negativa a facilitar la informacin que sea solicitada. d) Mantener datos de carcter personal inexactos o no efectuar las rectificaciones o cancelaciones de los mismos. e) Incumplir el deber de informacin cuando los datos hayan sido recabados de persona distinta del afectado.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 150 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Infracciones muy graves:

a) La recogida de datos en forma engaosa y fraudulenta. b) La comunicacin o cesin de los datos de carcter personal, fuera de los casos en que estn permitidas. c) No cesar en el uso ilegtimo de los tratamientos de datos de carcter personal cuando sea requerido para ello por el director de la Agencia de Proteccin de Datos o por las personas titulares del derecho de acceso. d) Tratar los datos de carcter personal de forma ilegtima o con menosprecio de los principios y garantas que les sean de aplicacin, cuando con ello se impida o se atente contra el ejercicio de los derechos fundamentales. e) No atender, u obstaculizar de forma sistemtica, el ejercicio de los derechos de acceso, rectificacin, cancelacin u oposicin. f) No atender de forma sistemtica el deber legal de notificacin de la inclusin de datos de carcter personal en un fichero. Las infracciones que la ley tipifica prescriben, segn lo establecido en el artculo 47.1 LOPD, por el transcurso de un ao las leves, dos aos las graves y tres aos las muy graves, que comenzarn a contar desde el da en que se cometi la infraccin. Asimismo, se interrumpir la prescripcin con la iniciacin, con conocimiento del interesado, del procedimiento sancionador, reanudndose el plazo de prescripcin si el expediente sancionador estuviera paralizado durante ms de seis meses por causa no imputable al presunto infractor. Sanciones El artculo 45 fija las sanciones correspondientes a las infracciones cometidas. Concretamente, las infracciones leves sern sancionadas con multa de 601,01 a 60.101,21 euros, las infracciones graves sern sancionadas con multa de 60.101,21 a 300.506,05 euros y las infracciones muy graves sern sancionadas con multa de 300.506,05 a 601.012,10 euros. La cuanta de las sanciones se graduar atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daos y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 151 de 165

Instituto Nacional de Tecnologas de la Comunicacin

otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuacin infractora. Si en razn de las circunstancias concurrentes se apreciara una cualificada disminucin de la culpabilidad del imputado o de la antijuridicidad del hecho, el rgano sancionador establecer la cuanta de la sancin aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. En ningn caso podr imponerse una sancin ms grave que la fijada en la ley para la clase de infraccin en la que se integre la que se pretenda sancionar. Las sanciones impuestas por faltas muy graves prescribirn a los tres aos, las impuestas por faltas graves a los dos aos, y las impuestas por faltas leves al ao. El plazo de prescripcin de las sanciones comenzar a contarse desde el da siguiente a aqul en que adquiera firmeza la resolucin por la que se impone la sancin. Las resoluciones de la Agencia Espaola de Proteccin de Datos u rgano correspondiente de la Comunidad Autnoma agotan la va administrativa y slo sern susceptibles de impugnacin en la jurisdiccin contencioso-administrativa. A efectos de responsabilidad, la normativa de proteccin de datos seala que ostentar la condicin jurdica de responsable del fichero aqul que decide los fines y medios del tratamiento de los datos personales, bien una sola persona fsica individual o conjunta siendo varios los responsables o incluso entidades, mientras que el proveedor de servicios ser el que realiza el tratamiento por cuenta del responsable del fichero y de acuerdo con sus instrucciones. La relacin entre ambas figuras se regula en el contrato; en l se establecer que el encargado del tratamiento se obliga a tratar los datos segn las instrucciones del responsable del fichero, que no comunicar los datos a terceros, que no los usar con fin distinto al pactado y que los destruir o devolver una vez finalizada la relacin contractual. Asimismo, debern fijarse las medidas de seguridad de ndole tcnica y organizativa que aplicar el encargado del tratamiento a los ficheros. Por todo, ser la precisa y correcta redaccin de los trminos del contrato la determinante para la delimitacin de eventuales responsabilidades entre las partes, y para la consiguiente aplicacin del rgimen sancionador establecido en la LOPD, en caso de ser necesario. II.12 Problemtica de la doble imposicin de sanciones Llegados a este punto, se ha visto que el envo de correos electrnicos comerciales no deseados son susceptibles de cometer infracciones tanto de la LOPD como de la LSSICE, y en consecuencia llevar anexo una doble imposicin de sanciones. Dicho tema debe ser estudiado porque la tradicin jurdica en el Derecho espaol prohbe la citada figura.
Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin Pgina 152 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Por ello, se debe plantear en este punto la situacin de que una infraccin de la LSSICE en materia de comunicaciones comerciales pueda tericamente coincidir con el mismo hecho que est tambin sancionado por la LOPD. Para resolver esta cuestin es necesario acudir a las infracciones contenidas en la LSSICE para observar si alguna de ellas tiene su correspondiente sancin en la LOPD y, en este caso, cmo se resolvera la doble regulacin. No ofrece duda el hecho de que algunas obligaciones de la LSSICE como, por ejemplo, la identificacin de los mensajes comerciales, la indicacin de la persona fsica o jurdica en nombre de quien se envan estos o la transparencia en las ofertas promocionales no tienen equivalente en la LOPD y, por lo tanto, las sanciones que se impongan por estas causas difcilmente pueden incurrir en la figura de la doble imposicin. El mayor problema sobre esta cuestin se encuentra en el supuesto de que el prestador de servicios hubiera enviado un correo electrnico sin haber recabado anteriormente el consentimiento expreso del destinatario, infringiendo, por tanto, el artculo 21 LSSICE, y, adems, hubiera infringido la LOPD por haber obtenido la direccin de correo de manera antijurdica. En este caso se considera que se trata de infracciones diferentes, puesto que la LSSICE y la LOPD tienen mbitos de aplicacin diferentes, aunque ciertamente interrelacionados, y, en consecuencia, cabra una sancin conforme a la LSSICE por lo que respecta al envo de correos comerciales no solicitados o autorizados expresamente y una segunda sancin conforme a la LOPD por lo que respecta a la infraccin cometida al obtener los datos de una fuente ilegtima. En el resto de los supuestos en los que se pudiera pensar en hipotticas colusiones reales de infracciones, deberan dirimirse las mismas teniendo muy presentes los principios generales del Derecho, como el principio de especialidad, optando por la aplicacin de la LSSICE cuando la infraccin se refiera expresamente a un correo electrnico. II.13 Accin de cesacin Como se ha dicho en secciones precedentes, el artculo 19 LSSICE hace remisin expresa a la normativa de publicidad. Si se toma como referencia el artculo 2 LGP, en cuanto define la publicidad como toda forma de comunicacin realizada por una persona fsica o jurdica, pblica o privada, en el ejercicio de una actividad comercial, artesanal o profesional, con el fin de promover de forma directa o indirecta la contratacin de muebles o inmuebles, servicios, derechos y obligaciones y considera ilcita a la publicidad que atente contra la dignidad de la persona o vulnere los valores o derechos reconocidos en la Constitucin..., en virtud del artculo 3 a) se podra afirmar, sin gran dificultad por todos los

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 153 de 165

Instituto Nacional de Tecnologas de la Comunicacin

motivos anteriormente expuestos, que las comunicaciones comerciales no solicitadas constituyen publicidad ilcita. En consecuencia, seran ejercitables las acciones de cesacin y rectificacin y el ejercicio de las acciones civiles, administrativas, penales o de otro orden que correspondan y con la persecucin y sancin como fraude de la publicidad engaosa por los rganos administrativos competentes en materia de proteccin y defensa de los consumidores y usuarios, segn el artculo 32 LGP. En concreto, la LGP establece que cualquier persona natural o jurdica que resulte afectada y, en general, quienes tengan un derecho subjetivo o un inters legtimo, podrn solicitar del anunciante la cesacin o, en su caso, la rectificacin de la publicidad ilcita, es decir, el ejercicio de las acciones de cesacin y de rectificacin. Los amplios trminos en los que se pronuncia el artculo 25 LGP al reconocer legitimacin activa, para el ejercicio de las acciones de cesacin y rectificacin, tanto a rganos administrativos como a las asociaciones de consumidores, a las entidades de otros Estados miembros de la Comunidad Europea (las cuales debern estar constituidas para la proteccin de los intereses colectivos y de los intereses difusos de los consumidores que estn habilitadas mediante su inclusin en la lista publicada a tal fin en el Diario Oficial de las Comunidades Europeas) y, en general, a quien tenga un derecho subjetivo o inters legtimo, no permiten, sin embargo, que pueda pensarse que las empresas competidoras del sector puedan actuar contra quien remite este tipo de publicidad ilcita las comunicaciones comerciales no solicitadas a no ser que se acredite el perjuicio directo que para ellas hayan supuesto esas actuaciones infractoras. El objeto de actuacin de la presentacin de estas acciones, como su propio nombre indica, es la cesacin de la conducta contraria a la presente Ley y la prohibicin de una reiteracin futura. Asimismo, la accin podr ejercerse para prohibir la realizacin de una conducta cuando esta haya finalizado al tiempo de ejercitar la accin, si existen indicios suficientes que hagan temer su reiteracin de modo inmediato, segn el prrafo segundo del artculo 29 LGP. La solicitud de estas acciones, tal y como lo establece el prrafo tercero del artculo 25 LGP, se har por escrito, en forma que permita tener constancia fehaciente de su fecha, de su recepcin y de su contenido. En cuanto a los plazos de ejercicio de las citadas acciones, el prrafo primero del artculo 26 LGP establece que la cesacin podr ser solicitada desde el comienzo hasta el fin de la actividad publicitaria, mientras que la rectificacin, segn el prrafo primero del artculo 27 LGP, podr solicitarse desde el inicio de la actividad publicitaria hasta siete das despus de finalizada la misma.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 154 de 165

Instituto Nacional de Tecnologas de la Comunicacin

III

Casos de Estudio

Un vez expuesta la normativa espaola y comunitaria en la materia y habiendo analizado cada uno de los puntos referentes al envo de comunicaciones comerciales no solicitadas, se debe estudiar alguno de los casos que se han dado en la realidad social y que pueden ser considerados como los ms interesantes para observar cul es la lnea de denuncias de la sociedad espaola. III.1 Caso de Estudio 1 Procedimiento N PS/00029/2007 Resumen de la materia

Es necesario recabar el consentimiento del destinatario de comunicaciones comerciales no solicitadas, aunque la direccin de correo electrnico haya sido obtenida de Internet. Legislacin vulnerada

Artculo 21.1 LSSICE dispone que queda prohibido el envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Artculo 3 j) LOPD, son fuentes accesibles al pblico aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin ms exigencia que, en su caso, el abono de una contraprestacin y, exclusivamente, el censo promocional, los repertorios telefnicos en los trminos previstos regulados, las listas de personas pertenecientes a grupos profesionales que contengan nicamente los datos de nombre, ttulo, actividad, grado acadmico, direccin e indicacin de su pertenencia al grupo, los diarios y boletines oficiales y medios de comunicacin. Exposicin de los hechos

En el supuesto que se examina, ha quedado acreditado que la empresa remitente de la comunicacin comercial, ni autorizada ni solicitada, no tena ninguna relacin contractual que justificara el envo de la citada comunicacin publicitaria o promocional, de conformidad con lo dispuesto en el artculo 21.2 de la LSSICE. La denunciante aleg que la direccin de correo electrnico del denunciante donde se haban remitido las comunicaciones comerciales no solicitadas apareca en varias pginas de Internet. Resolucin dictada

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 155 de 165

Instituto Nacional de Tecnologas de la Comunicacin

El hecho de haber obtenido la direccin de correo a travs de la Red no autoriza para que se remitan comunicaciones publicitarias o promocionales. Por tanto, el presente supuesto ha incurrido en la infraccin prevista en el artculo 21 LSSICE y se ajusta al tipo de infraccin establecido en el artculo 38.4 d), calificado como infraccin leve, al tratarse de un nico envo de una comunicacin comercial no deseada por correo electrnico. Comentarios al respecto

En el presente caso, lo realmente importante es lo relativo al calificativo de fuente accesible al pblico. En un primer momento, tal y como se configura Internet un medio de comunicacin en el que se vierten mltiples informaciones y de acceso libre a todos los usuarios conectados a la Red, se podra pensar que se incluye dentro de la definicin de fuentes accesibles al pblico. No obstante, la enumeracin de fuentes accesibles al pblico que seala la LOPD es una lista cerrada. As se pronuncia la Agencia de Proteccin de Datos, al considerar que es necesaria la obtencin del consentimiento del afectado en la procedencia de datos recogidos en Internet. III.2 Caso de Estudio 2 Procedimiento N PS/00210/2006 Resumen de la materia

Sancin de 1.000 euros por el envo de un nico e-mail no solicitado con informacin comercial, no teniendo ninguna relacin contractual previa con el remitente de la informacin. Legislacin vulnerada

Prrafo primero del artculo 21 LSSICE, que dispone que queda prohibido el envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas, Exposicin de los hechos

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 156 de 165

Instituto Nacional de Tecnologas de la Comunicacin

El denunciante recibi en su direccin de correo una comunicacin comercial no solicitada sobre cursos que posiblemente le podran interesar y que le ofrecan la inscripcin a los mismos, previo pago de la matrcula o peticin de subvencin correspondiente. El mismo manifiesta no haber mantenido relacin comercial alguna con el remitente del correo electrnico, ni haber sido informado, en ningn momento, de la inclusin de su direccin de correo personal en la base de datos del referido remitente. Resolucin dictada

La Agencia Espaola de Proteccin de Datos, en cumplimiento del artculo 21 LSSICE, entiende que el envo de una nica comunicacin comercial sin disponer de autorizacin previa del destinatario o sin que conste la existencia de una relacin contractual previa es una actitud que infringe la normativa, aunque de manera leve, y como tal es merecedora de una sancin pecuniaria de 1.000 euros. Comentarios al respecto

La Agencia no toma en consideracin que la comunicacin incluyera en su e-mail publicitario la advertencia legal (prctica muy frecuente), lo siguiente: De conformidad con la Ley 15/1999, estos datos estn recogidos en el fichero automatizado [...] cuyo responsable []. Podrn ejercer sus derechos de acceso [...]. Si desea no volver a recibir este boletn informativo enve un e-mail, indicando en el asunto BAJA, a la siguiente direccin... Se debe recordar que para la LSSICE, lo realmente importante es que el destinatario haya dado el consentimiento expreso para recibir esas comunicaciones, y si no lo ha hecho esa actividad es merecedora de una sancin. Esta caracterstica de la necesidad del consentimiento expreso se diferencia de lo que ocurra antes de la entrada en vigor de la citada Ley atendiendo a la LOPD, que nicamente exige un consentimiento inequvoco, es decir, se admita el consentimiento tcito e implcito en el envo de comunicaciones comerciales no solicitadas, lo que supona en consecuencia que se ajustaba a la legalidad el envo de correos electrnicos no solicitados pero que ofrecan al destinatario la posibilidad de no recibir ms promociones no solicitadas. Resoluciones similares

Vanse tambin en el mismo los siguientes procedimientos de la AEPD:

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 157 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Procedimiento N PS/00136/2006: Se enviaron dos comunicaciones publicitarias sin disponer de autorizacin expresa y previa del destinatario y sin que conste la existencia de una relacin contractual anterior que justifique el envo del mensaje, de conformidad con lo dispuesto en el artculo 21.2 de la LSSI. Procedimiento N PS/00234/2006: en el que se denuncia que se ha recibido un correo comercial no solicitado y que as mismo el denunciante no ha consentido el envo de dicha comunicacin comercial ni ha mantenido relacin comercial previa con dicha entidad. Procedimiento N PS/00282/2006: el denunciante recibi una comunicacin comercial en su direccin de correo electrnico y alega que no tiene ninguna relacin con el remitente del mensaje, ni ha autorizado su envo. Procedimiento N PS/00158/2006: en este caso, al igual que los anteriores, se denunci la recepcin de un correo comercial sin tener autorizacin para ello, ni ser solicitado, ni quedar acreditado que se mantuviera en algn momento relacin comercial alguna con la empresa emisora de la comunicacin comercial. III.3 Caso de Estudio 3 Procedimiento N PS/00151/2006 Resumen de la materia

Remisin de comunicaciones comerciales no deseadas a una persona jurdica sin disponer de autorizacin expresa y previa del destinatario y sin que conste la existencia de una relacin contractual con el remitente de la informacin que justifique el envo del mensaje. Legislacin vulnerada

Prrafo primero del artculo 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico, que dispone que queda prohibido el envo de comunicaciones publicitarias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Exposicin de los hechos

El denunciante, una sociedad limitada, present ante la Agencia de Proteccin de Datos un escrito en el que denunciaba la existencia de una infraccin leve, al tratarse del envo de una nica comunicacin comercial no deseada por correo electrnico.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 158 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Resolucin dictada

La Agencia Espaola de Proteccin de Datos resolvi imponer a la entidad demandada, por una infraccin del artculo 21 de la LSSI, tipificada como leve en el artculo 38.4 d) de dicha norma, una multa de 1.000 euros, de conformidad con lo establecido en el artculo 39.1 y 40 de la citada Ley. Comentarios al respecto

En este caso es muy importante recordar que, a diferencia de lo que ocurre con la LOPD, el envo de comunicaciones comerciales es un servicio de la Sociedad de la Informacin cuyos destinatarios son personas fsicas o jurdicas. La LSSICE ampara tanto a las personas fsicas como a las personas jurdicas destinatarias del servicio frente al envo de comunicaciones comerciales no solicitadas, de conformidad con la definicin de consumidor de la letra e) del Anexo de la LSSICE que incluye tanto persona fsica como jurdica. IV Conclusiones

Una vez concluido el anlisis pormenorizado del objeto de estudio, se puede afirmar que el ordenamiento jurdico ha regulado este fenmeno de forma adecuada, logrando un justo equilibrio entre los intereses de los agentes publicitarios y los destinatarios de dichas comunicaciones comerciales. Aunque no se puede negar la evidencia de la existencia de riesgos para el derecho a la intimidad y el derecho al tratamiento de datos de carcter personal por la utilizacin de las nuevas tecnologas, estos derechos estn suficientemente protegidos en el ordenamiento jurdico espaol, siempre y cuando la normativa actual se adapte a las nuevas realidades, con el nico fin de que los medios tecnolgicos, que son necesarios para el progreso de la sociedad, no afecten al normal desarrollo del individuo lesionando los derechos que le corresponden. En este sentido, la proteccin del destinatario de comunicaciones comerciales se ve reforzada frente a otros mecanismos que vulneran el derecho a la proteccin de datos de las personas mediante una doble regulacin sobre el envo de comunicaciones comerciales no solicitadas: una relativa a su ejercicio (Directiva 2002/58/CE, Ley 34/2002 LSSICE y Ley General de Telecomunicaciones) y otra relativa a sus lmites, especialmente intimidad y proteccin de datos (Directiva 95/46/CE y Ley Orgnica de Proteccin de Datos). Por un lado, conforme a la LOPD, la entidad deber informar al interesado de una serie de cuestiones relativas al uso de su direccin de correo electrnico, a las finalidades a las que

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 159 de 165

Instituto Nacional de Tecnologas de la Comunicacin

se van a destinar dichos datos, a la existencia de un fichero y a los derechos que le asisten en relacin con los mismos. Por otra parte, conforme a la LSSICE y siguiendo las directrices establecidas por la Unin Europea, se exige que las comunicaciones comerciales sean identificables como tales y que se haya obtenido el consentimiento para poder enviar comunicaciones comerciales no solicitadas, pero en este caso se refuerza, exigindose que sea expreso, sin realizar mencin alguna al requisito de que sea previo. La novedad de la situacin actual consiste en la tendencia hacia la uniformidad y el consenso, cada vez ms extendido, respecto a la necesidad de disponer de principios de referencia comunes, con el fin de establecer un marco general que incluya a los distintos pases en el marco europeo y los diferentes medios tecnolgicos. Tambin se debe apuntar a la existencia de una disparidad de regmenes entre Europa y Estados Unidos, ya que la primera se rige por el sistema opt-in y Estados Unidos por el sistema opt-out; se hace necesario un tratado internacional sobre la materia que armonice los distintos sistemas jurdicos. La celebracin de este tipo de acuerdos es necesaria si se pretende reafirmar los propios rasgos de Internet como instrumento de globalizacin de la Sociedad del Conocimiento. En resumen, el marco jurdico en Espaa regula el correo electrnico comercial no deseado o spam con rigor y profundidad, sin bien se presenta difuso en algunas de sus definiciones y requisitos.

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 160 de 165

Instituto Nacional de Tecnologas de la Comunicacin

ANEXO II: RELACIN DE PARTICIPANTES



Alejandro Morillo. Office IT de Vodafone Spain Andreu Gil. Chief Executive Officer de Spamina Blanca E. Snchez. Tcnico del Observatorio de la Seguridad de la Informacin Carlos Alonso. Responsable de Comunicacin de Emailing Solutions Carlos Tico. Director General de Serena mail David Sancho. Senior AV Researcher de TrendMicro Didac Lee. Presidente y fundador de Spamina Emilio Herraiz. rea de Seguridad IGECIS del Ministerio de Defensa Enrique Curiel. Ingeniero de seguridad de ISDEFE Francisco Cabeza. Corporate Account Manager Southern Europe de MessageLabs Francisco Javier Garca. Responsable del Servicio de Informtica de Universidad Pontificia Comillas Gonzalo Cruz. Departamento tcnico de Gravity Net Hector Ren Surez. Tcnico del Observatorio de la Seguridad de la Informacin Ignacio Berrozpe. Ingeniero de ventas de Nokia Spain Israel Hernandez. Manager - Advisory PI - IT Security de PricewaterhouseCoopers Javier Hernndez. Direccin General de Salud Pblica del Instituto de Salud Pblica de la Comunidad Autnoma de Madrid Jess Gago. Jefe de sistemas del Servicio de Informtica de la Universidad Carlos III de Madrid. Jordi Xapelli. Responsable de I+D. Spamina Jorge Chinea. Tcnico de Seguridad Informtica del INTECO-CERT Jos ngel Rodrguez. Departamento de Comunicaciones del Ministerio de Industria, Turismo y Comercio

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 161 de 165

Instituto Nacional de Tecnologas de la Comunicacin

Jos Manuel Lucena. Responsable de Sistemas Distribuidos de la Confederacin Espaola de Cajas de Ahorros (CECA) Juan Carlos Snchez. Servicio de Planificacin Informtica y Comunicaciones de la Universidad Politcnica de Madrid (UPM) Juan Dez. Tcnico de Seguridad Informtica del INTECO-CERT Julian Inza. Director de Albalia Interactiva Mario Velarde. Country Manager de IronPort Pablo Olabarria. Oracle University de Oracle Pablo Prez. Gerente del Observatorio de la Seguridad de la Informacin Pablo Teijeira. Business Development - Sophos Southern Europe de Sophos Pedro Gmez Quevedo. Jefe del Departamento de Sistemas y Tecnologas de Informtica del Ayuntamiento de Madrid

Ral Rubio. Departamento legal de Landwell Xavier Vilar. Responsable de Produccin de Infraestructuras y Correo Electrnico Corporativos del Grupo Santander

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 162 de 165

Instituto Nacional de Tecnologas de la Comunicacin

ANEXO III: NDICE DE GRFICOS


Grfico 1: Servicios de Internet utilizados por los usuarios en sus hogares (%).................12 Grfico 2: Volumen de spam en mensajes de correo en Internet 2005-2007 (%)...............64 Grfico 3: Distribucin mundial de correo y spam enviado, por zona geogrfica (%) .........65 Grfico 4: Pases generadores de spam en Internet en el ao 2007 (%)............................66 Grfico 5: Relacin de volumen de spam respecto al total de correos enviados (%) .........68 Grfico 6: Porcentaje de spam recibido por cada pas respecto al volumen total de todos los correos que recibe. 2005-2006 (%)................................................................................70 Grfico 7: Porcentaje de spam recibido por pas respecto al volumen total de todos los correos. 2007 (%) ................................................................................................................71 Grfico 8: Tipos de spam en el ao 2005 (%) .....................................................................72 Grfico 9: Tipos de spam en febrero del 2007 (%)..............................................................73 Grfico 10: Peso en Kb de los correos de spam (%)...........................................................74 Grfico 11: Spam en Espaa (%, del 1 de enero al 11 de marzo de 2008) ........................78 Grfico 12: Porcentaje del spam rechazado y no rechazado sobre el total de spam..........79 Grfico 13: Volmenes absolutos de spam con destino Espaa por pas de origen ..........80 Grfico 14: 10 pases con mayor volumen de spam enviado hacia Espaa (%, del 1 de enero al 11 de marzo de 2008)............................................................................................80 Grfico 15: Porcentaje de spam detectado sobre el total de mensajes procesados para cada pas de origen (%, del 1 de enero al 11 de marzo de 2008).......................................81 Grfico 16: Niveles de spam detectado por da de la semana para el periodo de estudio .82

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 163 de 165

Instituto Nacional de Tecnologas de la Comunicacin

ANEXO IV: NDICE DE TABLAS


Tabla 1: Comparativa de mtodos de recoleccin de direcciones ......................................28 Tabla 2: Impacto econmico del spam en Suiza (2005)......................................................52 Tabla 3: Impacto econmico del spam en EEUU (2007).....................................................53 Tabla 4: Zonas generadoras de spam (%) ..........................................................................66 Tabla 5: Pases con mayor cantidad de mquinas comprometidas ....................................67 Tabla 6: Spam en Espaa (del 1 de enero al 11 de marzo de 2008) ..................................77 Tabla 7: Porcentaje del spam detectado (del 1 de enero al 11 de marzo de 2008) ............78

Estudio sobre la situacin, naturaleza e impacto econmico y social del correo electrnico no deseado Observatorio de la Seguridad de la Informacin

Pgina 164 de 165

Instituto Nacional de Tecnologas de la Comunicacin

http://www.inteco.es http://observatorio.inteco.es