|
UIT |
Los ISP y la lucha contra el correo basura
Normalmente, el proveedor de servicios internet (ISP) se limita a transmitir
paquetes de datos, y los usuarios de la red son los que deciden qué envían y qué
reciben. Sin embargo, hoy todo es muy diferente porque internet se ha convertido
en una compleja estructura de redes y muchos exigen que los ISP intervengan más
activamente en la supervisión del contenido de los datos que transmiten. Son, en
cierta forma, los porteros de internet.
La maldición del correo masivo no solicitado
El correo electrónico y otras formas de mensajes que utilizan los
ordenadores y los teléfonos móviles, como las bitácoras (“blogs”) o el servicio
de mensajes cortos (SMS), ya son formas importantes de comunicación en todo el
mundo. Estos servicios son baratos, cubren todo el mundo y contribuyen
notablemente al desarrollo del comercio electrónico, pero el ciberespacio
moderno está cada vez más atascado por el correo masivo no solicitado (spam) y
algunas veces malintencionado que se cuela en nuestros buzones electrónicos.
El correo masivo no solicitado se ha convertido en el principal mecanismo
de los ataques electrónicos: fraude, toda clase de engaños, fraude de cobro de
derechos anticipados y virus. Los autores de estos mensajes han aprendido a
imitar el correo de los bancos y nos convencen para facilitarles información
personal. Algunos informes importantes sobre este tema indican que más de la
mitad del correo electrónico es este tipo de correo no solicitado, y que los
costos de su eliminación prácticamente anulan las ventajas de los servicios de
correo electrónico para las empresas y los consumidores.
|
|
Muchas jurisdicciones garantizan la total inmunidad de los ISP contra las
reclamaciones basadas en acciones de terceros en sus redes. Son muy pocos los
procesos iniciados por difamación o violaciones de derechos de propiedad
intelectual, pero cada vez se oye más la voz de los que reclaman una
intervención de los ISP para la protección y la regulación de internet.
Los ISP tienen un fuerte incentivo para luchar contra el correo masivo no
solicitado: soportan buena parte de estos costos y no obtienen nada a cambio, a
no ser que cobren un recargo a los autores para enviar este correo basura en su
nombre. Muchos ISP están interviniendo contra el correo masivo no solicitado
desde la fuente, antes de que inunde los buzones de sus clientes. Muchos también
participan en las organizaciones pertinentes que reúnen a toda la industria,
como el Grupo de Trabajo contra el Abuso de la Mensajería, o cooperan con las
organizaciones de normalización para poner a punto soluciones técnicas.
Muchas de las iniciativas de los ISP pretenden mejorar la seguridad de sus
redes para que sea más difícil hacer llegar correo masivo a sus clientes, y la
eficacia de estas medidas puede ser un argumento comercial importante. Por
ejemplo, el servicio de correo electrónico gratuito en la web de Google
(Gmail) retira los enlaces de hipertexto de los mensajes que pudieran ser
intentos de fraude. En Estados Unidos, el ISP Earthlink hace pasar por
sus servidores de correo todos los mensajes para controlar el impacto de las
redes “sometidas”. Earthlink también exige una contraseña a los programas de
correo electrónico de sus usuarios para transmitir mensajes.
Estas medidas pueden ser eficaces contra el correo masivo no solicitado, pero
los consumidores también deben tomar medidas para protegerse y para no
convertirse ellos mismos en autores involuntarios de este tipo de mensajes. En
efecto, un usuario puede descargar programas de internet que contienen programas
malintencionados (“malware”) que se instalan en su propio ordenador para
retransmitir este correo masivo a otros consumidores.
|
Algunas definiciones
Correo masivo no solicitado (spam): gran cantidad de mensajes
electrónicos enviados en forma indiscriminada.
Spim: tipo de
correo masivo orientado a los servicios de mensajería instantánea.
Fraude (phishing): intentos realizados para adquirir de forma
fraudulenta información o contraseñas y datos de tarjeta de crédito,
presentándose como el emisor de un correo electrónico legítimo. Se habla también
de suplantación de identidad o spoofing.
Malware: software creado para infiltrar o dañar el sistema
informático; pueden ser virus informáticos, caballos de Troya, programas espía
(spyware), programas publicitarios (adware).
Ordenador sometido (zombie): un ordenador que está infectado
por un virus diseñado para que se pueda utilizar a distancia y sin que se entere
su propietario. Se utiliza frecuentemente para enviar correo masivo no
solicitado. |
¿Hay soluciones?
Los causantes de este problema consiguen esconderse cada vez más eficazmente,
pero una acción coordinada de los ISP (y posiblemente de representantes de la
autoridad y de los usuarios) puede permitir detectar los peores casos. Es
posible seguir y localizar el correo basura en la red.
EyeWire |
|
Algunas de las iniciativas recientes más eficaces son los procesos que han
entablado los ISP en el marco de la legislación que regula este tipo de
mensajes. En Estados Unidos, por ejemplo, la ley CAN-SPAM de 2003 permite al ISP
entablar directamente un juicio contra el autor de estos mensajes. America
Online (AOL), Microsoft y Earthlink, importantes proveedores de servicios de
mensajería electrónica, han emprendido procesos sobre esta base o conforme a
las leyes de los Estados. Se han dictado sentencias millonarias contra los
culpables de esa forma de abuso de sus redes. Microsoft consiguió una sentencia
de 7 millones USD que puso probablemente el punto final a una operación de
correo masivo que probablemente distribuía más de 38 mil millones de mensajes
no solicitados anualmente.
Estas sentencias, si bien son pocas y están limitadas a determinadas
jurisdicciones, son un primer paso y permiten esperar que la acción de los ISP
acabará por resolver este problema con ayuda de sus clientes. El problema para
los legisladores es cómo crear una normativa eficaz y justa que permita
aprovechar los recursos de los ISP contra el correo basura, sin hacer soportar
una carga excesiva a las empresas que están cumpliendo con su deber.
Código de ética
La legislación nacional puede exigir la aplicación de códigos de ética para
los ISP, que determinen el comportamiento apropiado de estas empresas y de sus
clientes. Habría que incluir en estos códigos sugerencias sobre la mejor forma
de utilizar filtros de correo no solicitado y otras herramientas (véase el
artículo sobre Australia en la página 8). Podría establecerse como condición de
licencia que se cumpla este código de ética, pero también se puede definir un
reglamento con la participación de la industria. Ahora bien, es el organismo
regulador el que aprueba y, en muchos casos hace cumplir el código de ética.
¿Puede autorregularse el mercado?
En febrero de 2006, AOL anunciaba un nuevo plan de lucha contra el correo
masivo no solicitado en colaboración con Goodmail Systems de Estados
Unidos. Se va a cobrar un canon máximo de un céntimo USD por mensaje para el
envío de correo electrónico legítimo a través de un servicio “certificado” que
evita los filtros de correo basura del ordenador del destinatario. El objetivo
es garantizar la entrega de mensajes con un sello de autenticación de AOL sin
que se eliminen las imágenes y los enlaces de hipertexto por su posible peligro.
Yahoo es otro ISP importante que tiene previsto un sistema similar.
El servicio de correo electrónico garantizado, contra pago, podría ser
interesante para las empresas (por ejemplo los bancos) que desean enviar
mensajes a muchos clientes y son especialmente vulnerables a los ataques por
suplantación de identidad. Sin embargo, estas medidas de doble intervención en
el correo electrónico han sido criticadas por grupos del sector no lucrativo,
entre otros, porque podrían impedir las campañas de publicidad y recaudación de
fondos: AOL afirma que mantendrá su sistema de tratamiento especial para grandes
usuarios de servicios de correo electrónico gratuito (por ejemplo organizaciones
de beneficencia) que ofrecen garantías de legitimidad.
Otros opinan que habría que esperar a que las fuerzas de mercado hagan lo
suyo para mejorar la seguridad de internet: si alguien quiere pagar para
enviar correo electrónico “certificado”, debe tener derecho de hacerlo. Los
culpables del delito de correo masivo no solicitado inundan el sistema porque
los mensajes son gratuitos, y el cobro de un canon podría controlar el problema.
|
Imponer un código de ética también tiene inconvenientes. Es importante que
este código sirva para controlar el correo masivo no solicitado y que no sea una
forma de hacer soportar una carga indebida a los ISP. Hay que evitar, por
ejemplo:
- imponer obligaciones contra el envío de correo masivo cuando no hay
soluciones técnicas;
- utilizar las medidas contra el correo masivo como una forma de limitar la
libertad de expresión legítima;
- infringir los derechos a la privacidad de los ciudadanos.
PhotoDisc |
|
Una solución controlada por la industria
Es importante que la industria participe en la creación de códigos de ética y
en el trabajo de actualización frecuente que será necesario para reflejar la
evolución de prácticas y tecnologías contra el correo masivo no solicitado.
Las administraciones nacionales podrían crear una forma de regulación para
los ISP basada en iniciativas de la industria, que permita actuar contra los
autores de ataques más significativos. No se invierte por ello totalmente la
función de los ISP, el objetivo es más bien reducir el problema del correo
masivo para proteger a los ISP responsables. El sistema recompensaría a las
empresas que ponen en marcha medidas responsables y eficaces sin perjuicio de
las libertades civiles de los usuarios. Una solución sería que los reguladores
obliguen a los ISP irresponsables a asumir la responsabilidad por los perjuicios
del correo masivo.
El modelo voluntario
En vez de exigir un código que sería aplicado por una actividad de
regulación, los gobiernos podrían incitar a los ISP a crear su propio código de
ética. Muchos ISP ya están tomando este tipo de medidas, por ejemplo, incluyendo
condiciones de utilización en los documentos contractuales con sus clientes y
con otras empresas asociadas. Con el principio de un modelo voluntario, los
organismos reguladores pueden orientar a la industria en la definición de los
códigos y orientar a los consumidores hacia los ISP que los han suscrito. Los
usuarios podrán elegir proveedores ISP que intervienen activamente contra el
problema del correo no solicitado.
La solución está en la cooperación
En cualquier caso, que se obligue a los ISP a definir códigos de ética o que
ellos lo hagan de forma voluntaria, los reguladores tienen una función
importante de formación y divulgación de información. Las personas y las
empresas necesitan información actualizada sobre las soluciones técnicas y
avisos sobre virus y actividades fraudulentas detectadas. La cooperación entre
la administración pública y el sector de los ISP puede conseguir mucho en
términos de protección de los consumidores contra este problema.
Fuente principal: Informe de la UIT, Tendencias en las Reformas de
Telecomunicaciones 2006: La regulación de los sistemas de banda ancha,
Capítulo 7 “Contener la ola internacional del correo masivo no solicitado” de
John G. Palfrey, Jr., Director Ejecutivo, Berkman Center for Internet
and Society y Profesor de Derecho de la Universidad, Harvard Law School. |
|