¿Cómo se envía

un spam? Tomasz Nidecki

Artículo publicado en el número 2/2004 de la revista “Hakin9”

Todos los derechos protegidos. Distribución gratuita admitida bajo la condición de guardar la forma y el contenido actuales del artículo.
Revista „Hakin9”, Wydawnictwo Software, ul. Lewartowskiego 6, 00-190 Warszawa, piotr@software.com.pl
 ¿Cómo se envía
un spam?
Tomasz Nidecki

Con frecuencia los

spammers se aprovechan de
las vulnerabilidades de los
sistemas. Los costes y los
problemas relacionados con el
envío, a menudo, de decenas
o de cientos de miles de
mensajes son trasladados
a terceros. Enterémonos en qué
se basan las técnicas empleadas
por los spammers y cómo
protegernos de ellos.

E
l envío masivo de correo electrónico bilidad por el envío de spams recae sobre ellos,
absorbe muchísimos recursos. Para lle- dejando a los spammers impunes.
varlo a cabo, es imprescindible una co-
nexión rápida y un ordenador dedicado. Incluso Protocolo SMTP
si el spammer dispone de tales recursos, el en- Para comprender los métodos utilizados por
vío puede tardar varias horas. Los proveedores los spammers es necesario saber cómo fun-
de internet no se entusiasman, por lo general, ciona el protocolo más común para el envío
si de repente sus conexiones son utilizadas pa- del correo electrónico: SMTP. Igual que la
ra el envío de spam y el spammer puede perder mayoría de los protocolos empleados en
conexión con la red antes de poder enviar la Internet, está basado en simples comandos
mayor parte de los mensajes. Si se le detiene textuales.
puede sufrir graves consecuencias jurídicas
o financieras.
Los spammers con el objetivo de acelerar En nuestro artículo
y perfeccionar el envío emplean dos métodos aprenderás...
básicos. El primero está basado en la mini-
• de qué manera los spammers envían los
mización del tiempo requerido para enviar el
spams (empleando ordenadores de personas
mensaje. Es conocido como fire and forget,
Bases

inocentes),
es decir, ¨envía y olvida¨. Con este método • cómo proteger tu servidor ante spammers,
el ordenador que envía los spams no espera • cómo funciona el protocolo SMTP,
respuesta de los servidores con los cuales se • qué es open relay, open proxy y zombie.
contacta. El segundo método se basa en el ro-
Qué deberías saber...
bo de los recursos de personas ajenas que por
algún motivo han configurado mal sus sistemas • cómo emplear las herramientas básicas del
o han sido víctimas de virus. La mayoría de los sistema Linux.
costes y muchas veces, también la responsa-

2 www.hakin9.org Hakin9 N o 2/2004

 ?
Cómo se envía un spam?

Figura 1. Etapas del envío de correo electrónico

Etapas del envío del correo

Historia del SMTP El correo electrónico es enviado
El programa SNDMSG (Send Message) es el precursor del SMTP, empleado en en varias etapas (véase Figura 1).
el año 1971 por Ray Tomlinson (junto con su propio proyecto CYPNET) para la Para comprenderlo imaginémonos
creación de una aplicación que permitiera el envío del correo electrónico dentro de que queremos enviar un mensaje
la red ARPANET. Un año más tarde, el programa utilizado en Arpanet para el envío
de hakin9@hakin9.org a nobody@
de ficheros (FTP), fue ampliado con el comando MAIL y MLFL . Hasta el año 1980 el
example.com. El usuario que en-
correo era enviado por medio de FTP. Fue en aquel año cuando nació el primer pro-
tocolo estándar de correo electrónico, MTP (Mail Transfer Protocol), descrito en el
vía el mensaje utiliza el programa
documento RFC 772. MTP sufrió varias modificaciones (RFC 780, 788) y en el año Mozilla Thunderbird en una red
1982, en el RFC 821, Jonathan B. Postel describió Simple Mail Transfer Protocol. local, el destinatario – Outlook
Desgraciadamente, el SMTP en su forma básica no cumplió todas esperan- Express por medio de la conexión
zas. De ahí que surgieron muchos documentos que describían la extensión del telefónica tipo dial-up.
protocolo. Entre los más importantes podemos destacar: En la primera etapa, el programa
Mozilla Thunderbird contacta con el
• RFC 1123 – exigencias para los servidores de Internet (también abarca SMTP),
servidor SMTP señalado en las
• RFC 1425 – introducción del estándar de las extensiones del protocolo SMTP
opciones de la cuenta del usuario
– ESMTP,
• RFC 2505 – conjunto de sugerencias sobre protección antispam de los servido-
hakin9@hakin9.org – mail.software.
res, com.pl. El mensaje está enviado
• RFC 2554 – autorización de las conexiones – introducción del comando AUTH, al servidor a través del protoco-
lo SMTP. En la segunda etapa,
El actual estándar SMTP fue descrito en el año 2001 en RFC 2821. La colección RFC mail.software.com.pl mira en los
está en nuestro CD. registros de los servidores DNS.
Se entera de que el responsable

Hakin9 N o 2/2004 www.hakin9.org 3

 de la recepción del correo del
dominio example.com es mail.
example.com. Toda esta informa-
ción se encuentra en el registro
MX (Mail Exchanger) publicado
por la DNS responsable del domino
example.com (podemos obtenerla
por medio de los programas host
o dig: host -t mx example.com o dig
example.com.mx).
En la tercera etapa, mail.
software.com.pl conecta con mail.
example. com y le pasa el men-
saje. En la siguiente etapa,
mail.example.com entrega el
mensaje recibido al buzón local
de correo del usuario nobody. En
la última etapa, el usuario del
buzón nobody conecta por medio
de la conexión dial-up con el ser-
vidor mail.example.com a través
del protocolo POP3 (o IMAP) con
ayuda del programa Outlook
Express y recoge el mensaje. Pue-
de ocurrir que el mensaje recorra
un camino más largo. El remitente
podría utilizar servidores de correo
separados, p. ej. recepcion.software.
com.pl y envío.software.com.pl.
De este modo el mensaje pasaría
de los usuarios a través de recepcion
.software.com.pl, entregado a envío.
software.com.pl y, a continuación,
enviado a mail.example.com. Del
mismo modo en el caso de
mail.example.com en la recepción
y entrega del correo al usuario
puedenestar implicados varios ser-
vidores.

¿El sucesor de SMTP?

Dan Bernstein, autor del qmail, desar-
rolló el protocolo de nombre QMTP
(Quick Mail Transfer Protocol), que
debería sustituir a SMTP. QMTP
elimina muchos de los problemas que
Bases

se presentan en SMTP, pero es inco-

mpatible con su antecesor. Desgra-
ciadamente, no se ha implementado
en ninguna parte, a parte del propio
qmail.
Más información sobre QMTP:
http://cr.yp.to/proto/qmtp.txt

Figura 2. Etapas de la comunicación por medio de SMTP

4 www.hakin9.org Hakin9 N o 2/2004

 ?
Cómo se envía un spam?

Programas que toman parte Etapas de la comunicación en como respuesta obtenemos:

en el envío del correo SMTP
En el envío del correo participan va- El envío de un mensaje con la < 250 mail.example.com
rios programas: ayuda del SMTP está dividido en
varias etapas. He aquí un ejemplo esto significa que mail.example.com
• El programa usado por el usuario de una sesión SMTP entre los ser- está listo para recibir el correo.
final, que sirve no sólo para re- vidores mail.software.com.pl y mail. A continuación introducimos la di-
cibir y enviar, sino también para example.com. Los datos enviados rección de correo electrónico del
leer y escribir emails, es conoci- por mail.software.com.pl están mar- remitente del email a la que podre-
do como MUA – Mail User Agent. cados con el símbolo > y los datos mos recibir eventuales mensajes
Ejemplos: Mozilla Thunderbird, recibidos de mail.example.com: <. devueltos:
Outlook Express, PINE, Mutt; Tras el establecimiento de la co-
• La parte del servidor responsa- nexión, mail.example.com se pre- > MAIL FROM:<hakin9@hakin9.org>
ble de la comunicación con los senta así: < 250 ok
usuarios (recepción del correo)
y del envío y recepción del correo < 220 mail.example.com ESMTP Program Introducimos las direcciones de los
de otros servidores es conocida destinatarios:
como MTA – Mail Transfer Agent. informando que su nombre
Los más conocidos son: Send- completo de host (FQDN) es > RCPT TO:<test1@example.com>
mail, qmail, Postfix, Exim; mail.example.com. Asimismo, nos < 250 ok
• La parte del servidor respon- enteramos de que podemos utilizar > RCPT TO:<test2@example.com>
sable de la entrega del correo los comandos ESMTP (del SMTP < 250 ok
al usuario local se llama MDA extendido: véase el cuadro) y que > RCPT TO:<test3@example.com>
– Mail Delivery Agent. Ejemplos el MTA utilizado es Program. El < 250 ok
de MDA autónomos: Maildrop, nombre del programa es opcional,
Procmail. La mayoría de los MTA algunos MTA, por ej.: qmail, no lo Luego, tras el comando DATA trans-
poseen mecanismos propios de ofrecen. ferimos las cabeceras y el con-
entrega del correo local a los Nos presentamos así: tenido del mensaje. Separamos
usuarios, por tanto no siempre las cabeceras del contenido con
es necesario emplear MDA adi- > HELO mail.software.com.pl una línea vacía y terminamos el
cionales. mensaje con un punto en la siguien-
te línea:
Tabla 1. Lista de los comandos del protocolo SMTP utilizados con más
frecuencia:
> DATA
< 354 go ahead
Comando Descripción
> From: nadie@hakin9.org
HELO <FQDN> Presentarse al servidor > To: todos@example.com
EHLO <FQDN> Presentarse al servidor conectado con la > Subject: Nada
petición de darnos un listado de los >
comandos ESMTP disponibles > Esto es una prueba
MAIL FROM:<dirección> Introducir la dirección de correo > .
electrónico del remitente del email < 250 ok 1075929516 qp 5423
a la que podremos recibir eventuales
mensajes devueltos Después de enviar el mensaje, po-
RCPT TO:<dirección> Introducir la dirección del destinatario del demos terminar la conexión:
mensaje
> QUIT
DATA Pase al modo de recepción del contenido
< 221 Bye
del mensaje
AUTH <mecanismo> Autorización de la conexión (ESMTP); entre El servidor no siempre es capaz
los mecanismos más conocidos tenemos: de llevar a cabo nuestras orde-
LOGIN, PLAIN y CRAM-MD5 nes. Si obtenemos un código
que comience con la cifra 4 (códi-
Podéis encontrar una lista extensa de comandos SMTP y ESMTP en la go de la serie 4xx) eso significa
siguiente dirección: http://fluffy.codeworks.gen.nz/esmtp.html que el servidor temporalmente
rechaza la recepción del mensaje.

Hakin9 N o 2/2004 www.hakin9.org 5

 do: el proveedor de internet pue-
Listado 1. El open relay más Listado 2. Servidor open
de anular el contrato con motivo
sencillo relay que permite
del uso del servidor para fines
el envío sólo a usuarios
$ telnet lenox.designs.pl 25 ilegales o inmorales. Tercero: la
existentes
< 220 ESMTP xenox dirección IP del servidor termina-
> helo hakin9.org hakin9@hakin9.org
rá en las listas negras y muchos
< 250 xenox
servidores dejarán de recibir sus $ telnet kogut.o2.pl 25
> mail from:<hakin9@hakin9.org>
< 250 Ok mensajes (la eliminación de la IP < 220 o2.pl ESMTP Wita
de muchas listas negras es muy > helo hakin9.org
> rcpt to:<nobody@example.com>
< 250 kogut.o2.pl
< 250 Ok difícil, incluso a veces imposible).
> mail from:<ania@o2.pl>
> data
< 250 Ok
< S
354 End data with
Empleo del open relay > rcpt to:<
<CR><LF>.<CR><LF>
> Subject: test Comprobemos lo fácil que es em- < 250 Ok
plear el open relay para el envío de > data
>
> Esto es una prueba spam. Como ejemplo tomaremos uno
< S
354 End data with
<CR><LF>.<CR><LF>
> . de los servidores polacos que está > Subject: test
< 250 Ok: queued as 17C349B22
mal configurado, utilizado por los >
> quit
spammers: lenox.designs.pl. Como > Esto es una prueba
< 221 Bye
podemos observar en el Listado 1, > .
< 250 Ok: queued as 31B1F2EEA0C
en este caso no tuvimos que reali-
> quit
Deberíamos intentar enviarlo un zar pasos complicados para enviar < 221 Bye
poco más tarde. Si obenemos un mensaje. El servidor considera
un código que comience con la a todos que conectan con él como
cifra 5 eso significa que el ser- usuarios autorizados para enviar Como observamos en el Listado 2,
vidor definitivamente rechaza la correspondencia. Es el tipo del bastó con adivinar el nombre
recepción de nuestro correo e inten- servidor open relay más peligroso, del usuario para hacerse pasar
tos posteriores carecen de sen- puesto que es el más fácil de apro- por él y enviar el mensaje. En el
tido. Un listado con los comandos vecharse. caso de algunos servidores es su-
más importantes y los códigos obte- Existen otros open relay, un ficiente dar el nombre del dominio
nidos del servidor SMTP se ilustra poco más difíciles de utilizar por local, incluso no tiene que existir
en las Tablas 1 y 2. los spammers. Como ejemplo po- el usuario por el que nos hacemos
demos tomar uno de los servidores pasar.
Servidores open relay de correo que está mal configurado Observamos una situación si-
Cuando fue creado el protocolo del portal polaco O2: kogut.o2.pl. milar en el Listado 3: otra vez nos
SMTP, no existía el problema del
spam y cada usuario tenía la capa- Tabla 2. Lista de los códigos de respuesta más importantes:
cidad de utilizar cualquier servidor
para enviar sus mensajes al mundo. Código Descripción
Ahora, cuando los spammers bus- 220 Servicio activo: el servidor nos da la bienvenida informando
can la oportunidad de aprovecharse que le podemos enviar el comando
de algún servidor y enviar miles de 250 Comando aceptado
mensajes, este método no es acon-
354 Se puede empezar a introducir el contenido del mensaje
sejable. Los servidores que permi-
450 El buzón del usuario está ocupado por el momento
ten el envío de correo al mundo sin
(p. ej.: bloqueado por otro proceso)
autorización son conocidos como
open relay. 451 Error local durante el procesamiento del correo
Cada servidor que permite 452 No hay espacio en el disco por el momento
a usuarios no autorizados el envío
Bases

500 No existe el comando

de correo, tarde o temprano cae en
501 Error en el comando o en sus parámetros
manos de los spammers, lo que
puede acarrear consecuencias 502 El comando no se implementó
muy serias. Primero: porque puede 550 Buzón del usuario inaccesible
provocar una reducción de eficacia 552 Se ha excedido el límite de espacio en el disco
del servidor, el cual en vez de reci-
bir y entregar mensajes a usuarios Podéis encontrar una lista completa de códigos y de normas de crearlos en
autorizados, enviará spam. Segun- RFC 2821 (en nuestro CD).

6 www.hakin9.org Hakin9 N o 2/2004

 ?
Cómo se envía un spam?

¿Cómo no llegar a ser el open relay ? Listado 3. Servidor multistage

El protocolo SMTP permite: open relay que permite el
envío sólo a los usuarios
• recibir el correo del usuario (MUA) y enviarlo a otro servidor (MTA), existentes
• recibir el correo de otro servidor (MTA) y enviarlo al usuario local (MUA),
• recibir el correo de un servidor (MTA) y enviarlo a otro servidor (MTA). $ telnet smtp.poczta.onet.pl 25
< 220 smtp.poczta.onet.pl ESMTP
No hay ninguna diferencia en la manera de enviar los mensajes por medio de MUA y > helo hakin9.org
< 250 smtp.poczta.onet.pl
MTA.
> mail from:<ania@buziaczek.pl>
Lo más importante es si la dirección IP del destinatario es de confianza (por ej.: en
< 250 2.1.0 Sender syntax Ok
la red local) y si el remitente está en el dominio local o externo.
> rcpt to:<hakin9@hakin9.org>
El envío del correo fuera de nuestro servidor se conoce como relaying. No pode- < S
250 2.1.5 Recipient address
mos permitir el relaying sin autorización para que los spammers no puedan usar nues- S
syntax Ok;
tro servidor para llevar a cabo sus actividades. Por lo tanto, durante la configuración rcpt=<hakin9@hakin9.org>
del servidor SMTP hay que tener en cuenta lo siguiente: > data
< 354 Start mail input;S
• Si el mensaje está destinado a uno de los dominios atendidos por nuestro servidor end with <CRLF>.<CRLF>
tiene que ser recibido sin autorización. > Subject: test
• Si el mensaje es enviado por un usuario local (desde el MUA en el servidor) >
en la red local o desde una IP permanente autorizada y el remitente es usuario > Esto es una prueba
> .
externo, el mensaje puede ser recibido sin autorización (sin embargo, se reco-
< 250 2.6.0 Message accepted.
mienda su autorización).
> quit
• Si el mensaje es enviado por un usuario externo (por ej.: de una IP dinámica) y el
< 221 2.0.0 smtp.poczta.onet.pl
destinatario es un usuario externo, el mensaje puede ser recibido sin autoriza- Out
ción.

encontramos con el servidor de tinatario por smtp8.poczta.onet.pl e invocaron de modo incorrecto el

correo de uno de los portales pola- (213.180.130.48). Esto dificulta la qmail-smtpd.
cos más grandes, esta vez Onet (lo detección de que el servidor fue El programa qmail-smtpd con
curioso es que Onet declara ser un configurado como open relay, pero no el parche incorporado requiere
combatiente activo de los spams...). molesta en absoluto utilizarlo para el tres argumentos: el FQDN, el pro-
Es lo que se conoce como multista- envío de spams. grama que verifica la contraseña
ge open relay, es decir, el mensaje Otro tipo de open relay son los (compatible con checkpassword)
es recibido por una IP y enviado servidores con mal configurada y el parámetro adicional del progra-
por otra. autorización del remitente (SMTP- ma que verifica la contraseña (por
Para enterarnos de esto te- AUTH). Permiten el envío de cor- ejemplo, qmail-smtpd hakin9.org
nemos que analizar las cabece- reo tras introducir cualquier login /bin/checkpassword /bin/true).
ras Received (véase el cuadro) y contraseña. Esto a menudo les Un error frecuente es poner /bin/
del mensaje recibido. Como sucede a los administradores prin- true como segundo parámetro,
observamos en el Listado 4, el men- cipiantes del qmail que por algún ya que entonces la verificación de
saje fue recibido por ps8.test.onet.pl motivo no leyeron la documen- la contraseña es siempre exitosa
(213.180.130.54) y enviado al des- tación del parche SMTP-AUTH (independientemente del login
y contraseña introducidos). De la
misma manera, el spammer puede
Cabeceras Received intentar un ataque de diccionario
Las cabeceras Received son elementos obligatorios de cada mensaje. Determinan (ing. dictionary attack), por lo tanto
el camino desde el remitente hasta el destinatario (cuanto más arriba esté colocada
recomendamos que las contrase-
la cabecera, más cerca estará del servidor del destinatario). Las cabeceras son
ñas de los usuarios utilizadas para
añadidas automáticamente por los servidores de correo. Sin embargo, el spammer
puede agregar sus propias cabeceras, tratando de borrar su identidad y echar la
la autorización del SMTP no sean
culpa a otra persona. Las únicas cabeceras siempre verdaderas son las que coloca triviales.
el servidor del destinatario (las de más arriba). Las demás pueden ser falsas.
Gracias a las cabeceras Received podemos identificar la IP del remitente real del Servidores open proxy
mensaje y también reconocer si el mensaje fue enviado por medio de open relay u Otro tipo de servidores mal configu-
open proxy. No obstante, el análisis de las cabeceras no es una tarea fácil, ya que no rados que pueden ser empleados
existe un método estándar para su formulación y cada servidor de correo muestra por los spammers son los open
la información a su manera. proxy, o sea, los servidores proxy
a los que pueden conectar usuarios

Hakin9 N o 2/2004 www.hakin9.org 7

 Listado 4. Cabeceras Received del correo recibido del servidor Listado 5. Servidor open relay
multistage open relay con configuración errónea
SMTP-AUTH
Received: from smtp8.poczta.onet.pl (213.180.130.48)
by mail.hakin9.org with SMTP; 23 Feb 2004 18:48:11 -0000 $ telnet mail.example.com 25
Received: from mail.hakin9.org ([127.0.0.1]:10248 "helo hakin9.org") < 220 mail.example.com ESMTP
by ps8.test.onet.pl with SMTP id <S1348420AbUBWSrW>; > ehlo hakin9.org
Mon, 23 Feb 2004 19:47:22 +0100 < 250-mail.example.com
< 250-PIPELINING
< 250-8BITMIME
no autorizados. Los servidores open cación con open relay (los mismos < 250-SIZE 10485760
proxy pueden funcionar en base comandos que en el Listado 2). < 250 AUTH LOGIN PLAIN CRAM-MD5
a una gama extensa de progra- Sin embargo, antes de conectarnos > auth login
< 334 VXNlcm5hbWU6
mación y protocolos. El protocolo con el servidor SMTP, establece-
> cualquier cosa
más frecuente es HTTP-CONNECT, mos contacto con open proxy y con < 334 UGFzc3dvcmQ
pero hay algunos open proxy que su ayuda nos conectamos con MTA. > cualquier cosa
permiten la conexión a través de los Durante la conexión declaramos < 235 ok, go ahead (#2.0.0)
protocolos HTTP-POST, SOCKS4, que la comunicación se llevará > mail from:<hakin9@hakin9.org>
< 250 ok
SOCKS5 y otros. a cabo por medio del protocolo
> rcpt to:<nobody@nowhere.com>
Un open proxy puede ser usado HTTP/1.0; sin embargo, no lo utili- < 250 ok
por el spammer de manera idéntica zamos. > data
que open relay para enviar corres- Para el spammer lo más confor- < 354 go ahead
pondencia no autorizada. Además, table es encontrar un servidor open > Subject: test
>
muchos open proxy permiten ocultar relay que al mismo tiempo tenga
> Esto es una prueba
su dirección IP. Un proxy de esta ín- instalado un servidor de correo > .
dole es un bocado exquisito para los local. En la mayoría de los casos < 250 ok 1077563277 qp 13947
spammers. el MTA sin autorización acepta las > quit
conexiones del proxy local tratán- < 221 mail.example.com
Empleo del open proxy dolas del mismo modo que las de
En el Listado 6 está ilustrado el em- los usuarios locales. En estas si-
pleo de un open proxy que permite tuaciones el spammer no tiene que
conexión por medio de HTTP-CON- conocer ningún servidor open relay Listado 6. Servidor open
NECT en el puerto 80. La mayor y puede tranquilamente llevar proxy empleado para el
parte de la conexión es la comuni- a cabo su actividad a costa y respo- envío anónimo de
correspondencia por open
relay
¿De dónde toman los spammers las direcciones open relay $ telnet 204.170.42.31 80
y open proxy ? > CONNECT kogut.o2.pl:25 HTTP/1.0
Buscar por cuenta propia servidores mal asegurados puede resultar bastante proble- >
mático. Sin embargo, basta con recibir un spam enviado por open relay u open proxy < HTTP/1.0 200 S
para poder utilizarlo. Para verificar si bajo la dirección IP sospechosa hay un open Connection established
relay, podemos usar el script rlytest (http://www.unicom.com/sw/rlytest/), en cambio, < 220 o2.pl ESMTP Wita
para detectar un open proxy: pxytest (http://www.unicom.com/sw/pxytest/). Ambos se > helo hakin9.org
encuentran en nuestro CD. < 250 kogut.o2.pl
> mail from:<ania@o2.pl>
Los spammers que están interesados en perfeccionar su actividad utili-
< 250 Ok
zan, sobre todo, bases de direcciones comerciales open relay y open proxy.
> rcpt to:<hakin9@hakin9.org>
Es muy fácil encontrarlas, basta con escribir en cualquier buscador la palabra < 250 Ok
open proxy u open relay y hacer click en los primeros vínculos (p. ej.: http:// > data
www.openproxies.com/ – 20 USD mensuales, http://www.openrelaycheck.com/ < 354 End data with S
Bases

– 199 USD semestrales). <CR><LF>.<CR><LF>

Otro método para obtener direcciones es descargar la zona que contenga > Subject: test
direcciones open relay u open proxy de uno de los servidores DNSBL (véase >
el artículo Protección contra spams en el servidor). De la página web http: > Esto es una prueba
//www.declude.com/junkmail/support/ip4r.htm podéis bajar un listado con todos > .
< 250 Ok: queued as 5F4D41A3507
los servidores de este tipo. Para descargar la zona podemos emplear la aplicación
> quit
host: host -l <nombre de la zona> <dirección DNSBL>. Desgraciadamente,
< 221 Bye
muchos servidores DNSBL no permiten bajar zonas completas.

8 www.hakin9.org Hakin9 N o 2/2004

 ?
Cómo se envía un spam?

nsabilidad de otra persona, di- a terceros. Esta técnica está basa- • Entre las 19:00 y las 23:00, hora
ficultando en gran medida su da en la unión de un virus (worm) UTC, se conecta con una de las
detección (la IP del spammer con un troyano. El objetivo es crear 22 direcciones IP que contiene
estará únicamente en los logs del un open proxy en el ordenador in- el código del virus) en el puerto
servidor proxy y el destinatario fectado por el virus. De esta mane- 8998 UDP para obtener la direc-
de la correspondencia podrá re- ra se crea una red enorme de open ción URL de la que podrá tomar
cibirla solamente con ayuda del proxy anónimos, de los que se apro- el segundo elemento.
administrador del proxy). Si el vechan los spammers de todo el • Tras haber tomado el segundo
spammer está muy interesado en mundo. elemento (el troyano) se instala
ocultar su IP puede emplear varios El ejemplo más conocido de y se ejecuta; la dirección IP del
open proxy en cascada (conectan- zombie son los virus de la serie ordenador infectado es enviada
do el primero con el segundo y así Sobig. He aquí como funciona el al autor del zombie. A continua-
sucesivamente hasta llegar al ser- variante Sobig.E: ción, se toma el tercer elemento.
vidor de correo). • El tercer elemento es el pro-
• El primer elemento, después de grama Wingate modificado,
Zombie infectar el ordenador del usuario que después de su instalación
Zombie es un método nuevo (al abrir el adjunto de un email), automática pone en marcha el
y a la vez el más invasor, empleado se envía a todas las direcciones open proxy en el ordenador del
por los spammers para traspasar encontradas en los archivos .txt usuario.
los costes y las responsabilidades y .html del disco duro.
Podéis encontrar más información
sobre los virus de la serie Sobig en
La historia de spam la URL http://www.lurhg.com/sobig.
La palabra spam proviene del nombre de jamón con especias enlatado producido html.
por la empresa Hormel Foods – SPAM. Las siglas proceden de Shoulder Pork El único método seguro contra los
and hAM o SPiced hAM. ¿Cómo se empezó a asociar jamón con especias con el
zombies es el uso de programas an-
correo indeseado? Parcialmente la culpa por ello tienen los autores del show Monty
tivirus y sistemas IDS (Intrusion De-
Python’s Flying Circus. En uno de sus sketches se representa un restaurante cuya
tection System, por ejemplo, Snort)
dueña recomienda SPAM, un componente de cada plato. A las mesas está sentado
un grupo de vikingos cantando spam, spam, spam, lovely spam, wonderful spam que nos ayudarán a detectar open
(spam, spam, spam, rico spam, maravilloso spam), con lo cual de vez en cuando proxy en nuestra red.
ensordece a la dueña.
Es difícil determinar quién fue primero en usar la palabra spam para denomi-
Mejor prevenir que
nar los abusos en la red. Puede ser que los pionieros eran los MUDs (de Multi- curar
User Dungeon), los usuarios de juegos RPG de texto quienes solían aplicar Como podemos ver, no es difícil
este término a envíos que contentían demasiados datos en una entrega (hoy aprovecharse de los servidores mal
día es más frecuente llamarlo flooding). Es posible que la palabra spam se haya configurados. Para el administrador
empleado por primera vez en los chats Bitnet Relay, que eran los precursores
de un servidor vulnerable las conse-
de IRC.
cuencias pueden ser muy serias y el
Por el primer caso de spam en el correo se considera una carta enviada en
spammer saldrá probablemente im-
1978 por Digital Equipment Corporation. Dicha empresa mandó un anuncio sobre
el nuevo ordenador DEC-20 a todos los usuarios de Arpanet de la costa occidental pune. Por tanto, no hay que menos-
de los E.E.U.U. Sin embargo, la palabra spam no se adoptó antes de 1994, cuando preciar la problemática relacionada
en Usenet apareció un anuncio del despacho de los abogados Lawrence Cantera con la seguridad de los servidores
y Martha Siegiel. Informaban en él de su servicio de rellenar formularios de la lote- ante los spammers.
ría para visado americano. El anuncio fue enviado mediante un script a todos los Así que antes de arrancar nues-
grupos de discusión de entonces. tro propio servidor proxy, asegu-
Actualmente, con la noción spam se determina correo electrónico enviado rémonos de que solamente los
a propósito, en grandes cantidades, a personas que no desean recibir tales men- usuarios de la red local están auto-
sajes. Pueden (pero no tienen que) ser ofertas comerciales, propaganda política,
rizados a utilizarlo. Nuestro servidor
etc. Desde hace poco se suele llamar ham (del ing.: jamón) el correo que no es
de correo debe exigir autorización,
spam.
a pesar de que los portales polacos
Más sobre la historia de spam en: más grandes nos dan un mal ejem-
http://www.templetons.com/brad/spamterm.html, plo en este campo. Probablemente
http://www.geocities.com/SiliconValley/Way/4302/spam.html se vea afectada la comodidad de
Sketch del spam (Monty Python’s Flying Circus – 1969): http://www.rompecadenas. nuestros usuarios, pero el objetivo
com.ar/sketch.htm de este funcionamiento no tiene que
convencer a nadie. 

Hakin9 N o 2/2004 www.hakin9.org 9