Desactivada una presunta banda emisora de Spam en Silicon Valley: se reduce un 75% su volumen

enero 07, 2009 Sophos Press Release

Sophos, compañía de seguridad TI y control de contenidos, ha confirmado que uno de los componentes críticos de la infraestructura empleada por una banda de presuntos cibercriminales ha sido desactivada tras una investigación llevada a cabo por el Washington Post y que ha durado cuatro meses. Esto puede suponer, según diversas fuentes del diario, una bajada del 75% del volumen global de correo basura o correo spam.

La desarticulación de la compañía de "hosting" llamada McColo.com, ubicada en San José, California, se llevó a cabo a las 16:23 del pasado 11 de noviembre, hora de California, por dos de sus principales proveedores de datos, según un investigador de seguridad informática que estaba monitorizando activamente su actividad.

Como resultado de ello, se ha registrado una bajada muy importante del número de conexiones a los servidores de correo electrónico para la captura de Spam que SophosLabs realiza y que puede verse en el siguiente gráfico, que muestra las conexiones desde la medianoche del pasado lunes.

La misma bajada en el tráfico de spam también se ha visto registrada en gráficos similares que el Washington Post ha publicado.

La compañía de servicios de Internet ha estado albergando mecanismos de "Comando y Control" de diversas grandes redes de tipo "botnet" como Rustock, Srizbi, Dedler, Storm, MegaD y Pushdo.

Si se considera en su conjunto estos "botnets", se estima que tengan más de 600.000 ordenadores domésticos infectados, capaces de enviar mas de 100 billones de correos basura por día, según la información de Wikipedia sobre botnets.

De hecho, expertos en seguridad de Hostexploit.com han estado haciendo un seguimiento de McColo durante bastante tiempo y en su último informe sobre el cabercrimen en Estados Unidos afirman que la compañía de servicios de Internet "juega un papel fundamental en la gestión de la mayor red mundial de botnets y almacenamiento de "malware", la cual se estima que controlaba del 50 al 75% del spam mundial".

Según Ross Thomas, de SophosLabs Canadá "lo que todavía no está claro es qué tipo de acción puede ser llevada a cabo contra la compañía de servicios. Si resulta ser verdad que la masiva bajada en el volumen de correos spam ha sido debida a la desactivación de McColo.com, el resultado puede ser alentador por dos razones:

  • A pesar de la desviación de las operaciones de los botnet desde un modelo de arquitectura de "Comando y Control" basado en IRC y http hacia un modelo más elusivo basado en P2P, parece que la mayoría de los botnets que envían spam, tienen un solo punto de fallo, que puede ser catastrófico para los botnets cuando sean contraatacados o desactivados y,
  • Los protectores de la infraestructura global de correo electrónico pueden lograr un éxito significativo a través de reclamaciones dirigidas contra aquellos que proporcionan conectividad a Internet a través de los llamados "rogue ISP’s", es decir, proveedores de servicios que actúan de forma fraudulenta. Mientras que es cierto que los investigadores (probablemente los mismos que menciona en el Washington Post el reportero Brian Krebs como "la industria de la seguridad") han presentado quejas a los proveedores de datos de McColo sin un efecto aparente, los delincuentes más famosos no pueden escapar a un aviso generalizado de forma indefinida."

Los investigadores de seguridad Informática deberían estar muy animados ya que sus esfuerzos van a verse recompensados. Pero también deberían de trabajar más duramente para desarrollar mejores relaciones con los principales medios informativos, ya que parece de momento, que el nivel de sofisticación logrado por las bandas criminales de generación de correo basura puede haberse considerado de un modo exagerado.