Y es que luego de que reuniera varios datos e indagara profundamente acerca del negocio spammer, Samosseiko ha presentado un documento titulado: “El Partnerka – ¿Qué es, ¿y por qué te importa?”, el cual trata acerca de los métodos y sistemas que usan los ciberdelincuentes para cometer sus estafas y fechorías, siendo la generación de tráfico a sitios fraudulentos la clave para ganar dinero.

Si se preguntan que es Partnerka, es simplemente una red de afiliados rusos, los cuales se dedican a enviar referidos a compañias farmaceuticas, de programas piratas, relojes falsos y sitios para adultos, con el fin de obtener una comisión por cada venta del producto al que se le realiza la campañia.

Pero con la peculiaridad de que los métodos usados para enviar dichos referidos no son publicidad ni mucho menos, sino que hacen uso del malware y el spam; en concreto redireccionando la página de inicio de las victimas hacia las de sus socios con ayuda de troyanos y virus o construyendo scripts en PHP que se encargan de evaluar las keywords relevantes del dia y crear sitios puerta o “doorways” para atraer potenciales victimas en base a buscadores y Black Hat SEO.

Dicha investigación también arrojó a GlavMed como el mayor programa de afiliados y propulsor de Partnerka, mismo que se encarga de enviar potenciales victimas a sitios como: Canadian Pharmacy y US Pharmacy con los cuales cada miembro de GlavMed obtiene hasta un 40% de comisión por cada venta. Con lo que una persona miembro de este programa puede llegar a ganar hasta $1600 dolares por dia en los casos más exitosos para el spammer aunque teniendo siempre en cuenta que la mayor parte de emails spam son ignorados y borrados, evidentemente si el spam continua no es porque la tecnologia de los filtros antispam sea defectuosa o ineficaz, es sencillamente porque los spammers profesionales ganan cifras nada despreciables y que de seguro responden en parte a las preguntas planteadas al principio del post.

Puesto que a diferencia de otras ocasiones en donde retomaban viejos trucos o utilizaban la ingenieria social, en esta ocasión están empezando a adoptar formatos de archivos desconocidos para burlar los filtros antispam y de esta forma hacer que sus adjuntos superen la seguridad instalada en nuestro equipo y procedan con el intento de timar a los usuarios para obtener sus datos, bancarios en su mayoría.

Hasta la fecha la multinacional Symantec ha detectado 2 tipos de esta clase de ficheros que están teniedo gran movilidad por las redes:

eFax: El cual es un tipo de archivo asociado al popular servicio del mismo nombre, y funciona asociando a tu correo electrónico un número de Fax real como si de un aparato se tratase, esto con el fin de facilitar el envio y recepción de faxes entre personas, recibiendo estos en la bandeja de entrada en forma de adjuntos.

MHT: Un formato de archivo web creado originalmente por Microsoft para intercambiar contenido por la internet guardando páginas web emulando un email HTML, actualmente dicho tipo de fichero es soportado por varios navegadores más como Opera.

Si bien Symantec presenta la información como algo en parte curioso yo creo que utilizar dicho formatos obedece a 2 cosas: el agotamiento de recursos por el momento de parte de los spammers y el semi abandono para distribuir spam por esta ví­a, dado que cada vez es más común para ellos usar las redes sociales para cometer sus fechorias; aunque nunca hay que perder de vista que tipo de archivos abrimos en el email, especialmente si se trata de los 2 últimos se recomienda prudencia para evitar estafas.

Parte de la información fue vista en Itespresso

Aunque muchos analistas de seguridad informática han intentado definir la fuente y origen del ataque, todaví­a no se sabe con exactitud dicha información, sin embargo Bill Woodcock, director de investigación del Centro de Intercambio de Información de Paquetes, una organización dedicada al seguimiento del tráfico en internet, señalo que por los volumenes de tráfico con los que se realizó el ataque, este pudo provenir de alguna zona cerca de Rusia y Georgia y corresponder a una extensión del conflicto existente entre estos paises.

Además descartó que la culpable de este acontecimiento fuera una botnet y señaló que se debió a una ola de mensajes spam que fue utilizada para redirigir a las victimas al sitio y así­ de esta forma saturar de peticiones los servidores de Twitter.

Facebook y LiveJournal también se vieron afectados, aunque no en la medida del servicio de los 140 caracteres, investigadores de prestigiosas firmas de seguridad como Kaspersky Lab manifestaron que es inusual un ataque de esta magnitud, tanto en la duración como en si misma, por la condición de que la mayoría de sitios con elevadas cantidades de tráfico estan blindados y prevenidos para actuar en este tipo de situaciones.

No obstante señalaron que tal vez por el sostenido ritmo de crecimiento que tiene el servicio, el tiempo no ha sido el mejor aliado para los creadores de Twitter en lo que respecta a establecer medidas de contención para esta clase de sucesos, ¿o es que Twitter peca de falta de seguridad?, ya lo dirán las investigaciones sobre el caso y el futuro de tal servicio.

Parte de la información fue vista en NYTimes

Y es que si nos ponemos a pensar, el último gran virus de este tipo ha sido hasta el momento Conficker, que más que hacer un daño total ha estado reclutando PCs para una botnet, ¿la razón?, en mi opinión creo que los spammers y programadores de malware se han dado cuenta de que el control de los ordenadores es más provechoso que su destrucción.

De allí la importancia de dirigir sus actividades a la producción en masa de spam y la creación de troyanos y keyloggers que logren sacar una buena cantidad de contraseñas bancarias, datos o incluso dinero en bruto en base al phishing, puesto que el negocio del spam genera ganancias nada despreciables según un estudio hecho allá por el 2008.

Es de esta forma que la función del malware en estos tiempos es pasar de forma silenciosa, infectar tu ordenador y luego convertirlo en un tí­tere al cual sacarle provecho, buscando siempre el económico por supuesto, ¿los métodos para hacerlo?, mediante vulnerabilidades en las aplicaciones, descarga de software de lugares de dudosa confiabilidad, seguimiento de links fraudulentos, etc.

Es por ello que siempre es bueno tener herramientas de seguridad y seguir algunos consejos prácticos para no caer en estos engaños, recordar que la seguridad de un equipo no esta del todo en el sistema operativo, sino en las decisiones y prevención de los usuarios.

La Agencia Española de Protección de Datos (AEPD) ha presentado un servicio de Lista Robinson por Internet que permite inscribirse para no volver a recibir comunicaciones comerciales no deseadas por correo, teléfono o móvil, o Internet.

Desarrollado por la Federación de Comercio Electrónico y Marketing Directo (FECEMD), la Lista Robinson aspira a ser el fichero de referencia para los usuarios hartos de recibir publicidad no solicitada y para las empresas que deben cumplir con la Ley de Protección de Datos.

Esta lista es un servicio de exclusión publicitaria a disposición de los consumidores que tiene como objetivo disminuir la publicidad que éstos reciben.

El Reglamento de la ley aprobado en diciembre de 2007 obliga a las empresas, instituciones y organizaciones a consultar este tipo de ficheros de exclusión antes de lanzar una campaña publicitaria para cuyo desarrollo utilicen datos personales que figuren en fuentes públicas o ficheros de los que no sean responsables.

Así, los inscritos en el fichero no recibirán publicidad por correo, Internet, teléfono -fijo y móvil-, SMS, MMS o “cualquier otro medio de comunicación electrónica equivalente”, salvo de las empresas con las que mantengan algún tipo de relación.

A través del servicio de la Lista Robinson también será posible informar a una empresa que ya no se desea recibir publicidad telefónica. Este servicio es de carácter voluntario y gratuito para los particulares, aunque conlleva un gasto de entre 150 y 550 euros para las empresas que deseen consultar el fichero, ha explicado la presidenta de la FECEMD, Elena Gómez.

Para los ciudadanos, es necesario indicar, de acuerdo con lo señalado en el Reglamento del Servicio, el medio a través del cual no se desea recibir publicidad de entidades con las cuales no mantenga ni haya mantenido algún tipo de relación.

Para las entidades, deben consultar la Lista Robinson para no enviar comunicaciones comerciales a aquellas personas inscritas en el servicio, cuando realicen acciones publicitarias dirigidas a personas que no sean sus clientes, socios, usuarios cuyos datos tengan recolectados en algún otro fichero.

Si bien se puede considerar ya a Conficker como uno de los más peligrosos y destructivos gusanos que hayan pasado por los ordenadores, sus creadores parecieran no estar conformes con el estatus del gusano, puesto que los últimos estudios e investigaciones han develado la intención de que Conficker sea puesto en una categoría aparte en el mundo del malware.

Esto luego de que se descubriera que al pasar por los ordenadores no sólo desactiva procesos importantes del sistema o causa un descontrol en las funciones lógicas del sistema operativo, sino que además de forma silenciosa convierte a las PC en miembros de la botnet Wadelec, al descargar un virus del mismo nombre, el cual toma posesión del computador para iniciar el envio de spam automatizado.

Wadelec es una de las botnets más sofisticadas y profesionadas del planeta, los chicos que la controlan saben lo que hacen, dijo Paul Ferguson, reconocido investigador de Trend Micro.

Incluso por si fuera poco, Conficker incluye un tercer virus en su repertorio de malware, quién tiene como mecanismo de infección el alertar a los usuarios que se encuentran infectados y ofrecer un programa antispyware denominado Spyware Protect 2009, el cual promociona como el único que cuenta con el motor capaz de limpiar tu ordenador completamente después de haberlo adquirido por $40 dolares.

La farsa más grande, puesto que después de introducir tus datos bancarios en el formulario y pulsar el botón de compra, lo único que se consigue es el robo de la información de la terjeta de crédito correspondiente, así como la descarga de nuevo software dañino haciendose pasar por dicho antispyware, que no es más que un rogue.

En todo caso los expertos esperan que el gusano deje de usar estos métodos y distribuir dicho malware para mayo de este año, aunque creen que los ataques proseguirán en el futuro, por lo que recomiendan estar alerta e intentar detectar a Conficker si es posible para salvaguardarnos de otros peligros.

Visto en Tech Yahoo!

Por supuesto con el paso del tiempo los internautas han aprendido a identificar este tipo de mensajes que precisamente buscan llamar su atención, por lo que el grado de efectividad de estos ha bajado considerablemente; aunque aún cabe mencionar que precisamente por esta situación es que los Spammers están enfocando sus esfuerzos en ingeniar nuevos métodos para llamar la atención de sus posibles víctimas.

Una de las nuevas tendencias que está de moda entre los ciber-delincuentes es la de insultar a los remitentes de sus mensajes de correo basura, buscando precisamente con ello que sus víctimas le tomen una mayor importancia a dichos e-mails y respondan a ellos, abriendo la puerta para probablemente ser víctimas de fraudes y situaciones similares.

Una prueba fehaciente de esto es lo que uno de los redactores del sitio Security by Default publicó el pasado 14 de Abril, en donde se muestra una captura de un mensaje de Spam recibido por el mismo redactor y que el título de este e-mail incluye insultos, precisamente buscando llamar la atención del usuario.

Por supuesto la recomendación es siempre estar atentos a todo lo que recibimos en nuestra bandeja de correo electrónico, y por la experiencia de nuestro compañero redactor del blog que citamos, no dejarse guiar solo por el tí­tulo del mensaje que estemos recibiendo.

Sin embargo, esto va más allá de un concepto. Y es que según un estudio realizado por la firma de Seguridad Informática McAfee, el Spam genera una enorme cantidad de emisiones de gases que provocan el efecto invernadero, cifra equivalente a la que originan unos 3.1 millones de vehículos a gasolina.

Por ilógica que suene esta noticia, el estudio hecho por McAfee revela que la cifra de contaminación ambiental generada por el Spam se debe al gran gasto de energía eléctrica necesaria para realizar esta actividad ilícita, incurriendo en un gasto energético valuado en 33 millones de kilovatios por hora (kWh) durante un año entero. Esta energía eléctrica sería capaz de abastecer a 2.4 millones de hogares en el mismo periodo de tiempo (un año).

Esta enorme cantidad de energía eléctrica que el Spam utiliza, genera las mencionadas emisiones de gases que producen el efecto invernadero, y que equivalen a las emisiones de 3.1 millones de automóviles. Lo peor de todo es que esto es un desperdicio de energía eléctrica enorme y una contaminación infundamentada, dado que el 80% del spam es desechado por los usuarios.

Fuente: Grupo Geek

Febrero: Mes del amor, mes del spam también, amplio movimiento de este tipo de correo, debido a las cartas y postales que se envian con mensajes de amor, además de los múltiples mails anunciando viagra y todas las demás cosas que prometen hacer tu relación más feliz, sin duda el viagra es el tema spammer más recurrente en este mes y en general del año.

Abril: Spam con mensajes religiosos y relacionados con las Pascuas, algunos dirán: ¿A quién se le ocurre enviar correo basura de este tipo?, pero basta con echar una mirada a algunas noticias sobre el spam en estas fechas para darse cuenta que es un mes muy productivo para este tipo de correo.

Mayo y Junio: Los menciono por ser fechas con gran cantidad de fechas célebres, desde los dias dedicados a los padres hasta todas las demás celebraciones populares, ofertas de regalos y más asuntos spammers inundan nuestra bandeja.

Diciembre: Las fiestas decembrinas como Navidad son grandes temporadas en las que el spam sale a asaltar el buzón de tu correo electrónico, en parte por las notables ofertas de productos, descuentos y embaucamientos de empresas fantasma con planes para vacacionar.

Esos son los meses en que el trash mail se mueve más, aunque aquí tu opinión es lo más importante y por eso les pregunto: ¿en que temporada creen que hay más spam rondando por la internet?.

El spam representa el 94% del correo global hoy en día, declaró Postini Services, división de Google dedicada al combate contra el spam; según los estudios de esta empresa se estima que el spam crece 1.2% por día, en parte por la creación de nuevas botnets que ayudan a los spammers a aumentar el envio masivo de este molesto bicho.

Los expertos también señalan que el crecimiento reciente en los volumenes de spam se debe a las nuevas técnicas utilizadas por los spammers, tales como el spam por geolocalización y los recientes mensajes con falsas alarmas de bomba, mismos de los que ya hemos hablado en SpamSpam.

Todo parece indicar que sólo nos queda esperar que la cantidad de correo basura disminuya con ayuda de todos, poniendo en práctica algunas recomendaciones de seguridad informática, ya que todo parece indicar que desgraciadamente el spam nos ganó el round de marzo.

Noticia vista en BITS

Sin embargo, lo que en un principio es bastante inocente y divertido se utiliza también como medio de marketing, muchos usuarios envian links para vender productos a través de Twitter, cuantos más seguidores o followers tengan, mayor es la probabilidad de hacer ventas. Al igual que muchos vendedores tratan de promocionar sus productos y sitios web por Twitter también hay peligrosos spammers que envian links a malware o spam puro y duro.

Una de las formas más utilizadas para realizar SPAM en Twitter acumulando primero followers, y una manera de acumular followers es dedicarse a hacer amigos, siguiendo previamente las actualizaciones de los demás, uno puede seguir a otros usuarios para recibir sus actualizaciones y en el momento que hacemos esto dicho usuario se entera por un aviso del sistema, con lo que es normal que muchos de estos usuarios nos devuelvan el contacto siguiéndonos para recibir nuestras actualizaciones, como si de un favor amistoso se tratase. Tú me sigues a mi, pues como me has caido majo, yo te sigo a ti.

Entonces el peligro viene de los spammers que hayan logrado ser seguidos por muchas personas a las que previamente han seguido ellos para ver si les devolvian el “follow”. Ya que cuantos más seguidores estén en su lista, antes podran contactar con más personas para enviar sus links. Para accelerar este procedimiento y ahorrar tiempo entre los spammers se venden aplicaciones a bajo costo que se encargan de recorrer las redes de contactos dentro de Twitter siguiendo y haciendo follow a cualquier usuario detectado.

Como podemos comprender, a nadie le gusta que le envien actualizaciones o twitteos que continuamente son links para vender cosas o publicidad no solicitada. Generalmente los spammers son ignorados y cuando envian mucha basura pierden a los seguidores, pero para entonces ya han conseguido enviar bastantes enlaces de ventas.

Botnet hace referencia a un grupo de ordenadores infectados y controlados remotamente gracias a robots de software, o bots, que se ejecutan de manera autónoma. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC; las nuevas versiones de estas botnets se estan enfocando hacia entornos de control mediante HTTP con lo que el control de estas maquinas será muchos más simple. Teniendo a muchos ordenadores zombie a su servicio y fuera del control de sus usuarios legítimos, pueden usarse para enviar spam masivamente.

En los sistemas Windows la forma más habitual de expansión de los “robots” suele ser en el uso de cracks u otro software relacionado con la piratería. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows o mediante libretas de direcciones email.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear.

En la página Secure Works, realizaron un estudio muy detallado rastreando el origen del spam y llegando a probar el tipo de software y troyano utilizados para hacer funcionar una botnet que enviaba el correo basura de forma masiva.

El primer paso para tratar de completar la tarea de rastrear un email de spam hasta una botnet, es encontrar un perfil o “fingerprint” común de los emails enviados por el bot. Aunque los nombres de los supuestos emisores de los correos, el asunto y el cuerpo del mensaje es variable, existen elementos estáticos en las cabeceras de los emails que permiten tener información valiosa.

En los emails de spam Ron Paul, se identificaron las siguientes coincidencias claves:

* La cabecera de Recibido tiene siempre la estructura “desde [bot ip] por [nameserver del dominio emisor]“.
* La ID del mensaje empieza siempre con 000 y acaba por un texto aleatorio que combina letras sin significado.
* Las fechas de envio en las cabeceras aparecen en hora GMT, independientemente de la hora local de la zona donde se encuentre actuando el bot.
* X-Mailer es siempre Microsoft Outlook Express 6.00.3790.2663
* X-MimeOLE es siempre Microsoft MimeOLE V6.00.3790.2757

Los autores del estudio rastrearon muchas direcciones IP desde donde llegaba el correo basura, determinaron que las intenciones no eran en absoluto politicas pues el spam Ron Paul variaba y trataba de comercializar los tipicos productos del spam como imitaciones, warez o productos farmaceuticos sin receta.

En colaboración con diversos administradores de redes, pudieron trazar la ruta al servidor de control sobre los ordenadores zombie, siempre y cuando los administradores accedieron a dar datos de los servidores con bots en su red. Determinaron que el servidor que controlaba la botnet estaba situado en unas instalaciones de Estados Unidos y particularmente conocidas por los investigadores de seguridad informática y antimalware por tener este tipo de actividades con frecuencia.

Encontraron finalmente el malware que permitió la expansión de la botnet: Trojan.Srizbi. Según la descripción de Symantec se trata de un troyano de baja peligrosidad que utiliza un rootkit para ocultarse, ataca a computadoras con Windows desprotegidas.

Analizando las máquinas infectadas detectaron que el troyano pudo ser distribuido gracias al n404 web exploit kit, que podia encontrarse en el sitio de malware msiesettings.com, este kit de exploit que busca vulnerabilidades concretas tiene diferentes versiones y activa troyanos a su vez. Lamentablemente para los creadores de esta botnet, algunos ordenadores sin ningún tipo de protección ya tenian spambots de otro tipo infectando la computadora y compartiendo recursos pues se suman los recursos y el % de CPU entre ellos lo cual ralentizaba sobremanera los ordenadores zombie y seguramente los usuarios decidieron buscar ayuda técnica por el raro comportamiento.

Gracias a Spamhaus, los creadores del estudio pudieron acceder al servidor de control y examinar el software utilizado, programado en Python. El spamware o distribuidor principal se llamado Reactor Mailer, funcionando desde 2004. Tiene una interfaz y plantillas con formularios para realizar las tareas de envios masivos de correo publicitario.

Solamente la base de datos de emails de algunas de las tareas de envios asignados tiene un tamaño de 3.4 gigabytes y contiene 162,211,647 direcciones email. Afortunadamente, su software no tenia ningun tipo de feedback para saber lo que el usuario hacia con el email, muchas direcciones eran inválidas o desactualizadas y no podian saber si el internauta ignoraba el correo y lo eliminaba sin abrirlo. Por tanto segun el estudio no eran muy eficientes y se basaban en enviar el mayor número de correos posible.

El bot utilizaba un puerto especifico TCP para comunicarse con el servidor de control por lo que desde Secure Works pudieron localizar a través de la red hasta 16 servidores adicionales que tenian control sobre la distribucion del malware.

Estos fueron los servidores y su tipo de spam enviado:

xxx.xx.168.107 – Inactive
xxx.xx.168.134 – pill spam
xxx.xx.168.137 – Russian-language spam
xxx.xx.168.143 – Inactive
xxx.xx.168.144 – Inactive
xxx.xx.168.250 – Previously used, down now
xxx.xx.169.2 – Inactive
xxx.xx.169.22 – Replica watch spam
xxx.xx.169.25 – Russian-language spam
xxx.xx.169.107 – MLM work-from-home spam
xxx.xx.169.110 – OEM software spam
xxx.xx.169.135 – Work-from-home spam
xxx.xx.169.136 – pill spam
xxx.xx.169.147 – spam
xxx.xx.169.148 – pill spam
xxx.xx.169.153 – Replica watch spam
xxx.xx.169.154 – Replica watch spam

Aunque parezca increible, esta botnet llegó a enviar 200 millones de emails spam diarios durante su corto periodo de actividad.

En otro blog que tengo que no trata sobre spam ni seguridad informática si no que es un blog personal, tengo los comentarios en moderación pero cualquiera puede comentar sin ninguna restricción, nada de captchas ni preguntas de seguridad. Lo hago para ver como es el spam que recibo y sorprendentemente hace tiempo el flujo habitual de spam que recibo diariamente se corto. Totalmente.

No recibi ni un solo spam en el blog en semanas, parecia como si se hubiesen cansado de enviar masivamente spam con botnets a mi portal web sin obtener respuesta alguna. Para nada. Era solo un espejismo de spam. Es algo asi como cuando se implementan mejores plugins y filtros antispam y parece desaparecer o disminuir drásticamente durante un tiempo o cuando sufre bajones y regresa en septiembre con el fin de las vacaciones de la mayor parte de las personas.

Poco tiempo despues volvio el flujo habitual de spam y sigo recibiendo comentarios basura de muchos tipos con una misma frecuencia diaria. Por eso lo llamo espejismo de spam porque parece que se acaba de repente pero al poco tiempo vuelve otro pulso aunque no siempre tiende a volver con la misma intensidad. Tiene picos, son rachas, nunca se acaba.

El primero me lo envia Aaliyah Williamson de hercules.abbot[Joroba]arsh.com :

Hello.
Wanna fuck Angelina Jolie? Viagra “super stick” helps you!
Thank you.

Otra modalidad de este clásico spam es enviarlo con una imagen de venta de fármacos aunque tambien es filtrada por el filtro antispam de gmail, el correo electrónico gratuito que brinda Google:

La imagen contiene un listado de precios de productos farmaceuticos indicando “cheapest pharmacy” como viagra y cialis con sus respectivos precios y una url donde comprarlos.

El clasico spam en emails es asi y respecto al clasico spam que se puede encontrar en foros, blogs o cualquier formulario para comentar que este desprotegido son listas de enlaces a pornografia y venta de productos farmaceuticos como los mostrados anteriormente, lo bueno es que en estos casos puedes ver desde que redes se envian distintos tipos de mails de spam aunque por supuesto esto no te servirá nunca para saber de donde viene el origen, es decir el spammer que lo empezó todo o al menos una parte del ciclo ya que si supiesemos que individuo comienza todo este bombardeo no estaría ejerciendo su actividad.

En una ocasión, tuve un ataque a un servidor y me colocaron código malicioso, directorios basura y frames linkeando a webs de spammers. Cuando hice limpieza, borrando todo archivo basura, rastreando con antivirus, recuperando desde el backup más reciente y cambiando las contraseñas, comenté con el soporte técnico del hosting si se podria saber a través de los logs o ips de conexión de donde había llegado el ataque y como seguir a esta gente.

Me comentaron que ni me molestara, que me iba a dar igual porque no conseguiria saber desde donde o quienes me habian crackeado mi cuenta. Según lei en un artículo sobre un tipo que se dedicaba a seguir y rastrear redes de ordenadores zombie que envian spam, la lucha se centra mucho más en los métodos antispam y tecnologías de filtraje antes que en descubrir quienes son los tipos que envian los bombardeos publicitarios. Al parecer, incluso para los expertos en la materia, es complicado llegar hasta el punto de partida.

Por supuesto si haces esto debes activar una opción de moderación que ponga los comentarios en cola porque si no se te llenará todo de basura. Esto sirve nada más que para evaluar el daño del spam y ver de donde viene pero seria una estupidez desprotegerse sin sentido. Los gestores de contenido actuales, plataformas de publicación que no requieren conocimientos de programación vienen con muy buena seguridad pero generalmente se pueden modificar opciones a nuestro gusto, tanto en WordPress como en los sistemas de foros, phpBB, SMF o VBulletin, entre otros.

Uno de los mensajes clasicos de spam que caen en estos formularios son enlaces a pornografia y el mensaje es siempre muy similar. Sin embargo las redes infectadas de donde procede son muy dispares como ejemplo he comprobado las siguientes IPs de procedencia de este tipico mensaje donde entran links a este tipo de contenidos inapropiados y estos son los resultados:

La primera red infectada que lo envia es:

OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 58.0.0.0 – 58.255.255.255
NetRange: 210.0.0.0 – 211.255.255.255
NetRange: 59.0.0.0 – 59.255.255.255
NetRange: 219.0.0.0 – 219.255.255.255

Y las IP que envian este mensaje en efecto pertenecen a esta red asiatica: 58.159.2.11, 210.7.30.134, 59.160.212.131, 210.131.4.160, 219.255.61.119; están incluidas en los rangos especificados más arriba.

La siguiente red infectada esta mucho más lejos geograficamente sin embargo envia otro tipo de spam que tambien se repite donde entran links con venta de viagra y otros pildoras en venta por mercado negro, estando en Estados Unidos:

OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
OrgID: MCICS
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
PostalCode: 20147
Country: US

NetRange: 209.47.0.0 – 209.47.255.255

Y las IP que envian este mensaje en efecto pertenecen a esta red americana: 209.47.94.52, como veis estan incluidas en los rangos especificados mas arriba.

Increiblemente, las redes de ThePlanet tambien parecen estar siendo atacadas :

OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US

ReferralServer: rwhois://rwhois.theplanet.com:4321

NetRange: 67.18.0.0 – 67.19.255.255

Y ademas el bot del spammer que las atravesó envia los mismos mensajes de spam que la red asiatica y que otra red situada procedente de Amsterdam asi como de Montevideo en Uruguay:

OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Rambla Republica de Mexico 6125
City: Montevideo
StateProv:
PostalCode: 11400
Country: UY

ReferralServer: whois://whois.lacnic.net

NetRange: 200.0.0.0 – 200.255.255.255

OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 213.0.0.0 – 213.255.255.255

Son los mismos mensajes de spam, links de pornografia dejados automaticamente por bots de spammers a traves de redes infectadas en muchas zonas del mundo, algunas supuestamente muy seguras.

Estas es una copia del tipico spam con pornografia que se envia desde estas redes :

much to been I haven’t today. up , Video 840
[url=http://-Video-840.html] Video 840
[/url] =-DD, Video 360
[url=http://-Video-360.html]Video 360
[/url] 225, Video 120
[url=http://-Video-120.html] Video 120
[/url] >:]]], Video 720
[url=http:///-Video-720.html] Video 720
[/url] >:-((, Video 140
[url=Porn-Video-140.html] Video 140
[/url] >((, Video 340
[url=-Video-340.html] Video 340

Quito las urls para que nadie entre en esa basura. Del otro tipo de spam clasico con un texto con enlaces a productos farmaceuticos en venta en el mercado negro, encontramos una plantilla tipica que es un texto informativo sobre enfermedades y medicamentos donde los fármacos tienen enlaces a sitios de venta.

Muy bien esto es sólo una prueba del nivel de infeccion de la red recibiendo más de 20 de estos mensajes por dia, aunque segun una experiencia que tengo algunos bots de spam envian más y más basura segun el crecimiento de la pagina aumenta aunque no está del todo comprobado pero al igual que un bot de un buscador pasa con más frecuencia en páginas actualizadas creo que un bot spammer pasa con más frecuencia en una página actualizada y con tráfico creciente.