Pagina Principal UIT Unión Internacional de Telecomunicaciones English Français 
  Copia Imprimible 
Pagina Principal UIT
Página principal : Actualidades de la UIT
  
PROMOCIÓN DE LA CIBERSEGURIDAD – ISP CONTRA EL SPAM

 


UIT

Los ISP y la lucha contra el correo basura

Normalmente, el proveedor de servicios internet (ISP) se limita a transmitir paquetes de datos, y los usuarios de la red son los que deciden qué envían y qué reciben. Sin embargo, hoy todo es muy diferente porque internet se ha convertido en una compleja estructura de redes y muchos exigen que los ISP intervengan más activamente en la supervisión del contenido de los datos que transmiten. Son, en cierta forma, los porteros de internet.

La maldición del correo masivo no solicitado

El correo electrónico y otras formas de mensajes que utilizan los ordenadores y los teléfonos móviles, como las bitácoras (“blogs”) o el servicio de mensajes cortos (SMS), ya son formas importantes de comunicación en todo el mundo. Estos servicios son baratos, cubren todo el mundo y contribuyen notablemente al desarrollo del comercio electrónico, pero el ciberespacio moderno está cada vez más atascado por el correo masivo no solicitado (spam) y algunas veces malintencionado que se cuela en nuestros buzones electrónicos.

El correo masivo no solicitado se ha convertido en el principal mecanismo de los ataques electrónicos: fraude, toda clase de engaños, fraude de cobro de derechos anticipados y virus. Los autores de estos mensajes han aprendido a imitar el correo de los bancos y nos convencen para facilitarles información personal. Algunos informes importantes sobre este tema indican que más de la mitad del correo electrónico es este tipo de correo no solicitado, y que los costos de su eliminación prácticamente anulan las ventajas de los servicios de correo electrónico para las empresas y los consumidores.

  

Muchas jurisdicciones garantizan la total inmunidad de los ISP contra las reclamaciones basadas en acciones de terceros en sus redes. Son muy pocos los procesos iniciados por difamación o violaciones de derechos de propiedad intelectual, pero cada vez se oye más la voz de los que reclaman una intervención de los ISP para la protección y la regulación de internet.

Los ISP tienen un fuerte incentivo para luchar contra el correo masivo no solicitado: soportan buena parte de estos costos y no obtienen nada a cambio, a no ser que cobren un recargo a los autores para enviar este correo basura en su nombre. Muchos ISP están interviniendo contra el correo masivo no solicitado desde la fuente, antes de que inunde los buzones de sus clientes. Muchos también participan en las organizaciones pertinentes que reúnen a toda la industria, como el Grupo de Trabajo contra el Abuso de la Mensajería, o cooperan con las organizaciones de normalización para poner a punto soluciones técnicas.

Muchas de las iniciativas de los ISP pretenden mejorar la seguridad de sus redes para que sea más difícil hacer llegar correo masivo a sus clientes, y la eficacia de estas medidas puede ser un argumento comercial importante. Por ejemplo, el servicio de correo electrónico gratuito en la web de Google (Gmail) retira los enlaces de hipertexto de los mensajes que pudieran ser intentos de fraude. En Estados Unidos, el ISP Earthlink hace pasar por sus servidores de correo todos los mensajes para controlar el impacto de las redes “sometidas”. Earthlink también exige una contraseña a los programas de correo electrónico de sus usuarios para transmitir mensajes.

Estas medidas pueden ser eficaces contra el correo masivo no solicitado, pero los consumidores también deben tomar medidas para protegerse y para no convertirse ellos mismos en autores involuntarios de este tipo de mensajes. En efecto, un usuario puede descargar programas de internet que contienen programas malintencionados (“malware”) que se instalan en su propio ordenador para retransmitir este correo masivo a otros consumidores.

 

Algunas definiciones

Correo masivo no solicitado (spam): gran cantidad de mensajes electrónicos enviados en forma indiscriminada.
Spim: tipo de correo masivo orientado a los servicios de mensajería instantánea.
Fraude (phishing): intentos realizados para adquirir de forma fraudulenta información o contraseñas y datos de tarjeta de crédito, presentándose como el emisor de un correo electrónico legítimo. Se habla también de suplantación de identidad o spoofing.
Malware: software creado para infiltrar o dañar el sistema informático; pueden ser virus informáticos, caballos de Troya, programas espía (spyware), programas publicitarios (adware).
Ordenador sometido (zombie): un ordenador que está infectado por un virus diseñado para que se pueda utilizar a distancia y sin que se entere su propietario. Se utiliza frecuentemente para enviar correo masivo no solicitado.

¿Hay soluciones?

Los causantes de este problema consiguen esconderse cada vez más eficazmente, pero una acción coordinada de los ISP (y posiblemente de representantes de la autoridad y de los usuarios) puede permitir detectar los peores casos. Es posible seguir y localizar el correo basura en la red.


EyeWire

 

Algunas de las iniciativas recientes más eficaces son los procesos que han entablado los ISP en el marco de la legislación que regula este tipo de mensajes. En Estados Unidos, por ejemplo, la ley CAN-SPAM de 2003 permite al ISP entablar directamente un juicio contra el autor de estos mensajes. America Online (AOL), Microsoft y Earthlink, importantes proveedores de servicios de mensajería electrónica, han emprendido procesos sobre esta base o conforme a las leyes de los Estados. Se han dictado sentencias millonarias contra los culpables de esa forma de abuso de sus redes. Microsoft consiguió una sentencia de 7 millones USD que puso probablemente el punto final a una operación de correo masivo que probablemente distribuía más de 38 mil millones de mensajes no solicitados anualmente.

Estas sentencias, si bien son pocas y están limitadas a determinadas jurisdicciones, son un primer paso y permiten esperar que la acción de los ISP acabará por resolver este problema con ayuda de sus clientes. El problema para los legisladores es cómo crear una normativa eficaz y justa que permita aprovechar los recursos de los ISP contra el correo basura, sin hacer soportar una carga excesiva a las empresas que están cumpliendo con su deber.

Código de ética

La legislación nacional puede exigir la aplicación de códigos de ética para los ISP, que determinen el comportamiento apropiado de estas empresas y de sus clientes. Habría que incluir en estos códigos sugerencias sobre la mejor forma de utilizar filtros de correo no solicitado y otras herramientas (véase el artículo sobre Australia en la página 8). Podría establecerse como condición de licencia que se cumpla este código de ética, pero también se puede definir un reglamento con la participación de la industria. Ahora bien, es el organismo regulador el que aprueba y, en muchos casos hace cumplir el código de ética.

¿Puede autorregularse el mercado?

En febrero de 2006, AOL anunciaba un nuevo plan de lucha contra el correo masivo no solicitado en colaboración con Goodmail Systems de Estados Unidos. Se va a cobrar un canon máximo de un céntimo USD por mensaje para el envío de correo electrónico legítimo a través de un servicio “certificado” que evita los filtros de correo basura del ordenador del destinatario. El objetivo es garantizar la entrega de mensajes con un sello de autenticación de AOL sin que se eliminen las imágenes y los enlaces de hipertexto por su posible peligro. Yahoo es otro ISP importante que tiene previsto un sistema similar.

El servicio de correo electrónico garantizado, contra pago, podría ser interesante para las empresas (por ejemplo los bancos) que desean enviar mensajes a muchos clientes y son especialmente vulnerables a los ataques por suplantación de identidad. Sin embargo, estas medidas de doble intervención en el correo electrónico han sido criticadas por grupos del sector no lucrativo, entre otros, porque podrían impedir las campañas de publicidad y recaudación de fondos: AOL afirma que mantendrá su sistema de tratamiento especial para grandes usuarios de servicios de correo electrónico gratuito (por ejemplo organizaciones de beneficencia) que ofrecen garantías de legitimidad.

Otros opinan que habría que esperar a que las fuerzas de mercado hagan lo suyo para mejorar la seguridad de internet: si alguien quiere pagar para enviar correo electrónico “certificado”, debe tener derecho de hacerlo. Los culpables del delito de correo masivo no solicitado inundan el sistema porque los mensajes son gratuitos, y el cobro de un canon podría controlar el problema.

Imponer un código de ética también tiene inconvenientes. Es importante que este código sirva para controlar el correo masivo no solicitado y que no sea una forma de hacer soportar una carga indebida a los ISP. Hay que evitar, por ejemplo:

  • imponer obligaciones contra el envío de correo masivo cuando no hay soluciones técnicas;
  • utilizar las medidas contra el correo masivo como una forma de limitar la libertad de expresión legítima;
  • infringir los derechos a la privacidad de los ciudadanos.


PhotoDisc

 

Una solución controlada por la industria

Es importante que la industria participe en la creación de códigos de ética y en el trabajo de actualización frecuente que será necesario para reflejar la evolución de prácticas y tecnologías contra el correo masivo no solicitado.

Las administraciones nacionales podrían crear una forma de regulación para los ISP basada en iniciativas de la industria, que permita actuar contra los autores de ataques más significativos. No se invierte por ello totalmente la función de los ISP, el objetivo es más bien reducir el problema del correo masivo para proteger a los ISP responsables. El sistema recompensaría a las empresas que ponen en marcha medidas responsables y eficaces sin perjuicio de las libertades civiles de los usuarios. Una solución sería que los reguladores obliguen a los ISP irresponsables a asumir la responsabilidad por los perjuicios del correo masivo.

El modelo voluntario

En vez de exigir un código que sería aplicado por una actividad de regulación, los gobiernos podrían incitar a los ISP a crear su propio código de ética. Muchos ISP ya están tomando este tipo de medidas, por ejemplo, incluyendo condiciones de utilización en los documentos contractuales con sus clientes y con otras empresas asociadas. Con el principio de un modelo voluntario, los organismos reguladores pueden orientar a la industria en la definición de los códigos y orientar a los consumidores hacia los ISP que los han suscrito. Los usuarios podrán elegir proveedores ISP que intervienen activamente contra el problema del correo no solicitado.

La solución está en la cooperación

En cualquier caso, que se obligue a los ISP a definir códigos de ética o que ellos lo hagan de forma voluntaria, los reguladores tienen una función importante de formación y divulgación de información. Las personas y las empresas necesitan información actualizada sobre las soluciones técnicas y avisos sobre virus y actividades fraudulentas detectadas. La cooperación entre la administración pública y el sector de los ISP puede conseguir mucho en términos de protección de los consumidores contra este problema.

Fuente principal: Informe de la UIT, Tendencias en las Reformas de Telecomunicaciones 2006: La regulación de los sistemas de banda ancha, Capítulo 7 “Contener la ola internacional del correo masivo no solicitado” de John G. Palfrey, Jr., Director Ejecutivo, Berkman Center for Internet and Society y Profesor de Derecho de la Universidad, Harvard Law School.

 

 

 

 

Comienzo de la página - Comentarios - Contáctenos - Copyright © ITU 2024 Reservados todos los derechos
Contacto público : Unidad de la Comunicación de la Unión
Fecha de creación : 2024-04-20