New kinds of spam and how to combat ‘em

Estuve leyendo los mensajes capturados por mi filtro antispam. Me divertí tanto leyendo los esfuerzos de los spammers por dejar publicidad no deseada en mi blog que compartiré hoy con ustedes la forma en la cual logro detener esos mensajes antes de que sean vistos por los cándidos e inocentes ojos de mis cuatro lectores y cuatro lectrices.

Los spammers son una cosa que me inspira sentimientos encontrados. Por un lado intentan ganarse el pan de cada día, de preferencia francés con un poco de mantequilla a las hierbas finas, ajo y queso parmesano, al horno en rebanadas delgadas y acompañado de un buen antipasto italiano. Por el otro emplean métodos bastante dudosos para lograr su objetivo. Lo interesante es que un número cada vez mayor de spammers encuentran que mi blog es una plataforma ideal para lograr su objetivo, y justo cuando realizan su ataque se topan con pared.

Los spammers realizan lo que en lengua española en dialecto mexicano occidental jaliscience tapatío conocemos como “Publicidad por correo electrónico no deseada.” El equivalente físico son los volantes que se van pegando de casa en casa y auto en auto, con la diferencia de que en la realización de esos volantes el anunciante gasta dinero en un esfuerzo por atraer clientes, en tanto que en el spam electrónico se gasta una mamada (perdón, qué rudo lenguaje el mío) felación para llegar a millones de usuarios. El problema ha llegado a niveles tan extremos que hay cuentas de correo, como la mía, que reciben 95% de spam, 4% de cadenas de correo llenas de pendejadas tonterías y apenas un magro 1% de comunicaciones válidas.La moderna generación de programas de correo electrónico incluye filtros antispam muy efectivos, que logran detener al 99% del spam que llega a los buzones de los usuarios.  En mi caso, duariamente llegan a los servidores de LIDERCorp Networks casi 20000 mensajes, de los cuales el servidor intercepta por lo menos 19400 antes de que lleguen a los buzones, y de los 600 que quedan, apenas 100 son de spam, divididos en 40 cuentas, lo que equivale a dos o tres spams por cuenta, en un buen día. Y el servicio aprende para no dejar pasar demasiados correos basura.

Los spammers, por tanto, se vieron obligados a diversificar su mercado y utilizar más estrategias, con la esperanza de que alguna sea chicle y pegue. La siguiente víctima fueron los blogs. Los spammers utilizan la caja de comentarios para dejar anuncios, que pueden ser tan sencillos como:

vEM87V hcjrmhjlsoec, [url=http://yqdfggwzmpco.com.xy/]yqdfggwzmpco[/url], [link=http://gvomnewfblqb.com.xy/]gvomnewfblqb[/link], http://violpjslvoyz.com.xy/,

Tan ingeniosos como:

¡Compre viagra! ¡compre viagra!

o tan absurdos como

He leído su blog, y me agradó mucho. Yo también pasé por una situación parecida cuando buscaba un vuelo a Vancouver en el pasado. Le dejo el enlace de un portal de viajes que me ayudó a encontrar un boleto a precio irrisorio.

Dado que los spammers se están volviendo más inteligentes, o mejor dicho, sus técnicas ya no son iguales a la pura fuerza bruta, los mensajes se cuelan y luego tiene que ser el dueño de un blog para niños el que esté retirando a cada rato mensajes de lesbianas desnudas teniendo sexo con hombres. El hecho de que una lesbiana esté teniendo sexo con hombres pone en duda la veracidad de la afirmación, pero como a los calenturientos que consumen pornografía le importa más bien poco, entrarán al enlace correspondiente y harán ganar al spammer una cantidad ínfima, irrisoria diría yo, pero que multiplicada por los millones de calenturientos que harán click basta para producir una enormidad de billetes.

Ejemplo al canto: supongamos, sin conceder, que un webmaster llamado Dijo el Cuervo tiene una página pornográfica que ofrece fotos eróticas de 1820, que esencialmente consisten en ver a la abuelita de la Caperucita Roja enseñando los tobillos. Hay 20 fotos gratis que sirvan para calentar al personal y como base para las “chairas” de uno que otro pervertido, y la suscripción al sitio, que incluye 1 millón de fotos, cuesta apenas 5.95 dólares al mes. Pero en el sitio no se paran ni las moscas. Dijo el cuervo procede entonces a llamarle a Quoth the Raven, que es un spacker, o sea, un hacker que trabaja para spammers, y le solicita su invaluable ayuda, a razón de un dólar por cada suscriptor inmediato y un centavo por cada click, con la esperanza de que al ingenuo posible cliente le guste lo que ve y regrese, ya sea a hacer click en enlaces de publicidad o a suscribirse al sitio. El spacker prepara una lista de 100 millones de clientes, envía 200 millones de correos, y se sienta a esperar su jugoso cheque. Pero de 100 millones de personas, apenas respondieron 100000. esto es, el 0.001 porciento del total. Y de esos cienmil apenas se suscribieron el 0.1% del total, esto es, 100 personas. Un publicista normal que hubiera tenido que imprimir 100 millones de volantes y todo para que sólo 100 personas compraran un juguete de 16 dólares se hubiera declarado en bancarrota. Pero nuestro spacker no, porque, caray, él se ganó mil dólares por enviar tráfico y 100 dólares por suscriptores, y lo único que gastó fue tiempo. Y seguro ni siquiera mucho, porque se aprovechó de la infraestructura existente para capturar máquinas con virus para enviar desde ahí los correos. Pero nuestro spacker no está contento, y el dueño del sitio web tampoco: en especial el dueño del sitio, que sólo hizo 1600 dólares y terminó pagando 1100. Así que nuestro spacker decide aumentar la apuesta y envía el mensaje a todos los blogs que puede. Puede que no conozca ninguno, lo que no impedirá que lo utilize como plataforma publicitaria involuntaria. Y envía el mensaje a otros 100 millones de blogs. Hay por el momento más posibilidades de que la gente no tenga instalados filtros antispam en su blog, por lo que los mensajes llegarán, recargados de clicks, y tal vez alguno pegue.

Pero nosotros nos encargaremos de evitar eso, y además, sacar del negocio a los spackers.

Obvio es que podemos cerrar los comentarios. Ésto tiene la desventaja de que se pierde el objetivo real de un blog, que es el de tener comunicación con los lectores. Mas si dejar los comentarios abiertos implican que se cuelen los indeseados, entonces será tiempo de emplear tácticas de guerrilla.

Primero, podemos moderar los comentarios. Comentario que se haga, comentario que se debe enviar al autor, para que decida si el mensaje es bueno o malo, y ya. Cosa que no es práctica cuando el autor no está muy cercano a su equipo y se reciben muchos comentarios. Además de que hay algunos despistados que envían el mismo mensaje veinte veces y luego se quejan de censura. Si llegan muchos comentarios de spam la tentación de borrar todos por parejo es demasiado grande. Y siempre está la posibilidad de borrar algo por error.

Para impedir eso, podemos colocar los comentarios en cola abierta, pero con un vigilante en la entrada. Éste método se llama captcha (Completely Automated Public Turing test to tell Computers and Humans Apart), y es, en esencia, una antiprueba de Turing. Alan Turing fue un matemático y criptógrafo muy bueno, a quien si bien le hacía agua la canoa eso no impedía que fuera una reata para lo que en un futuro sería la informática. Hemos llegado ya a una época en que la igualdad para los homosexuales ha llegado al nivel en que es lícito burlarse de ellos, por si alguien se lo pregunta. Turing desarrolló una especie de prueba: si un humano no es capaz de distinguir entre una conversación hecha por una máquina de una conversación hecha por un humano, entonces la máquina tiene inteligencia artificial. O por lo menos estupidez artificial, que es mucho más fácil de simular. La antiprueba de turing, por el contrario, implica que si una máquina pone una prueba que otra máquina no sería capaz de resolver pero un humano sí, entonces la máquina puede distinguir entre humanos y no humanos.  Para ellos podemos poner una palabra, distorsionarla de manera que un programa de reconocimiento óptico de caracteres sea incapaz de descifrarla en tanto que para un humano no presenta mayor problema que teclearla, y sabremos con certeza que quien escribe el mensaje es, sin lugar a dudas, un humano, con lo que se publicaría el comentario en el blog sin mayor trámite. Como ejemplo, la pseudopalabra smwm en un sistema de captha se presentaría de la siguiente forma:

Un ejemplo de captcha moderadamente útil es reCaptcha, de la Uiversidad Carnegie Mellon. Toma palabras reales digitalizadas de libros antiguos no disponibles en internet, y las palabras que no fueron reconocidas por los programas de OCR de la universidad se ponen disponibles para un captcha, junto con otra palabra ya reconocida. Así, si la palabra ya reconocida es igual a la palabra tecleada, entonces la palabra no reconocida por fuerza debe de ser igual a la otra palabra tecleada, dando paso al sistema de comentarios.

Otros sistemas de captcha permiten al usuario elegir sus propias palabras para poner. Si el usuario escoje palabras extrañas, rimbombantes, ostentosas, llamativas, especializadas o simplemente en desuso, entonces el ataque por diccionario será inútil y no habrá problemas, pero si las palabras son comunes y corrientes, o simplemente demasiado pocas, podemos enfrentarnos a un posible problema. Aún así, este tipo de programas tienen la ventaja de que las palabras podrán cambiarse cuando sea necesario, haciendo muy complicado que un spacker pueda quedar a la par. Un buen programa para tal efecto es Peter’s Custom Antispam, aunque su desventaja es que un sitio mal configurado puede dar acceso al código y descubrir las claves. Una variante es el Peter’s Math Antispam, donde el cliente debe resolver una ecuación sencilla (digamos, 2+2) para que el servidor de acceso al sistema de comentarios. La desventaja de este sistema es que el número de respuestas puede ser muy limitado y disponible para un ataque de diccionario numérico. Para solucionar ese problema, se puede usar el Peter’s Random Antispam, que provee palabras hechas al azar, de donde nos pasamos por el arco del triunfo los problemas de ataque de diccionario.

Mas hay algunos sistemas de captcha que dan más problemas que beneficios. Cuando es necesario emplear 10 veces más tiempo para resolver una palabra tan distorsionada que sencillamente no se nota qué es, estamos ante un problema. Captchas más sencillos pueden ser reconocidos por programas especialmente diseñados; algunos estántan mal diseñados que dejan la pista de qué captha fue usado durante mucho tiempo en la máquina del usuario, que un buen spacker puede aprovechar para enviar correo durante un lapso de tiempo importante simplemente tecleando el captcha a mano una vez. Otros son, simplemente, una molestia. Los usuarios en plataformas extrañas y discapacitados pueden tener problemas. Por ejemplo, será bastante complicado, si no es que imposible, que alguien con reducción visual pueda descifrar el captcha. Un ciego, irónicamente, se las verá negras.

Se puede emplear otra forma de diferenciar entre humanos y ordenadores. Si ponemos una pregunta que sólo para un humano tendría sentido entonces podemos darle acceso al sistema de comentarios. En este sistema, si preguntásemos algo en el estilo “¿quién es el hijo de mi padre que no es mi hermano?” la respuesta sería “Yo.” El problema con esta clase de captchas es que están limitados a usuarios de un idioma en particular, y a que las respuestas pueden variar y habrá que tomar todas en cuenta. Hay otras opciones más sencillas. Se puede poner una caja de selección que diga “Marque aquí para comprobar que no es un spambot” y listo. O al revés; “Desmarque aquí para comprobar que es humano.” O alguna variable, como decir “deje vacío el campo contraseña” o “escriba gazorninplat en la caja siguiente.” Este método puede ser comprobado por un spambot bien hecho, de manera que deja ir algunos correos una que otra vez. Otra variable puede ser comprobar contra una lista de spammers conocidos. Esto es, mensajes marcado como basura se almacenan, las direcciones de los enlaces se guardan, y los mensajes comparados en futuras ocasiones. Por supuesto, si el mensaje no es conocido será aprobado, y será responsabilidad del administrador borrarlo, lo que abre las puertas a un ataque al estilo blitzkrieg, devastador sin duda alguna.

Para resolver ese problema, podemos emplear una base de datos compartida de mensajes y ofensores conocidos. Esta especie de interpol espameril tiene varios ejemplos, uno muy bueno llamado Akismet, disponible para todos los usuarios de wordpress sin costo y que puede ser adaptado a otras plataformas con un mínimo esfuerzo. La versión comercial, para aquellos que ganan más de 500 dólares mensuales con su blog, cuesta apenas 5 dólares al mes. Aquí si un mensaje se cuela es enviado a la cola de moderación, para ser aprovado o desechado, y si el mensaje es identificado como spam se va directo a la cola de comentarios basura, sin que el usuario lo vea. Como los comentarios ofensivos son compartidos por mucha gente, mientras más veces sea identificado el correo más rápido se irá a la cola de basura, y los falsos positivos son muy pocos. La excepción serían los comentarios con muchos enlaces, que es una característica de los spammers, que se irían directo a la cola de spams a menos que el usuario ya esté reconocido. Esto se puede evitar diciéndole al administrador que se va a enviar un mensaje lleno de enlaces o que ya se envió (casi siempre la segunda opción). Una alternativa para otro tipo de usuarios y más plataformas es Bad Behavior, que analiza el método de envío del mensaje y lo para si no es un método comparable con el que usaría el usuario normal del sitio. Este método tiene la ventaja de que para muchos mensajes antes de que el ataque empiece siquiera, aunque es suceptible a parar a algunos usuarios que actúan detrás de proxies para navegar o que emplean navegadores escleróticos esotéricos.

Pero aún se pueden conjugar varias alternativas para hacer un sistema a prueba de spammers. En El Fósforo Perfecto el sistema utilizado es una variación de todos estos sistemas. Hay una palabra al azar, sencilla y fácil de comprender, que a su vez es comparada con una lista de spammers conocidos, y además el código tiene trampas, de manera que si el bot trata de llenar las cajas ocultas o deja de llenar alguna caja abierta, se envía al cielo de los mensajes basura. En el cielo de los mensajes basura a todos los mensajes se les hace caso y hacen click continuamente en ellos. Al poco rato el cielo de los mensajes se convierte en el infierno de los mensajes, y después a los mensajes les vale madre todo cuando se acostumbran.

Con todo esto disponible, los spackers tienen un buen número de problemas para enviar mensajes. No dudo que terminarán rompiendo las protecciones, pero reaccionaremos igual de rápido ante esos nuevos avances y pararemos las oleadas sucesivas de ataques, cual grupo de irreductibles galos.

Por cierto, para que quede constancia, es mi deber decir que este artículo contiene dos mil quinientas palabras.

Saludos cordiales.

Quoth.