Imágenes Spam: la epidemia de los correos electrónicos en 2006

Aspectos generales

Los usuarios finales de todas partes del mundo están reportando un aumento de correo spam. Gran parte de este aumento se puede atribuir a un resurgimiento del correo spam en 2006 propiciado por la aparición de nuevas formas más sofisticadas de imágenes spam.

Las imágenes spam son una técnica con la que los spammers propagan sus mensajes adjuntando un archivo (en .gif o .jpeg) en lugar de incluirlos en el cuerpo del correo electrónico. Estas imágenes se despliegan automáticamente a los usuarios finales, aunque el contenido de las mismas permanece oculto para la mayoría de los filtros de spam.

El aumento de ataques cada vez más complejos de imágenes spam ha provocado que disminuya la tasa de detección de spam de toda la industria de seguridad de correo electrónico, lo que ha generado una menor productividad y la frustración de los usuarios finales por el incremento de spam en sus bandejas de entrada. El aumento total en el volumen de spam, aunado a un mayor porcentaje de spam pesado, está saturando la infraestructura de correo electrónico, ya que muchos sistemas no son capaces de seguir el ritmo de estos altos volúmenes de spam.

Este documento resume (1) la reciente tendencia de las imágenes spam, (2) plantea por qué es difícil detectarlas y (3) cómo protege IronPort® a los clientes de esta creciente amenaza.

Descargar Reporte de Imágenes Spam

El volumen general de spam aumentó durante el segundo trimestre de 2006 debido al incremento mundial de imágenes spam.

Tendencias y soluciones

Según la Red SenderBase® de IronPort los volúmenes de spam se estabilizaron en 2005, pero volvieron a aumentar durante el segundo trimestre de 2006. Como se muestra en el eje izquierdo de la gráfica anterior, SenderBase demuestra que el volumen mundial de spam aumentó de 30 mil millones de mensajes diarios, aproximadamente, a más de 50 mil millones durante los últimos 12 meses. IronPort registró un aumento de 40 por ciento en el volumen de spam tan sólo en el segundo trimestre. Esto significa que, incluso si la tasa de detección de spam se mantiene constante, el usuario final promedio habrá recibido 40 por ciento más spam en su bandeja de entrada desde el mes de abril.

Gran parte de este crecimiento en el volumen general de spam se puede atribuir al aumento de imágenes spam. Como muestra el eje derecho de la gráfica anterior, las imágenes spam aumentaron de 3 por ciento el año pasado a más de 20 por ciento en la actualidad. Cuando el volumen general aumentó repentinamente en el cuarto trimestre de 2005 y el segundo trimestre de 2006, fue a causa de las imágenes spam.

El motivo original detrás de este importante aumento en el volumen de spam es el dinero. Los spammers tienen un sólo objetivo: envían correos spam para ganar dinero. Mientras más mensajes lleguen a las bandejas de entrada, más probabilidades de que quienes los reciben los abran, generando así más ingresos para los spammers.

Como se muestra en la siguiente sección, las imágenes spam distribuidas aleatoriamente son especialmente difíciles de detectar por la mayoría de los filtros anti-spam, lo que ocasiona que se propague aún más el spam. Los spammers también pueden hacer que sus imágenes parezcan normales y atractivas para los usuarios, aumentando el porcentaje de respuesta. Como es muy poco probable que cambie alguno de estos factores en el corto plazo, IronPort prevé que el spam de imágenes seguirá siendo un problema en el futuro próximo. IronPort también ha sido testigo de la rapidez de innovación de los spammers que utilizan imágenes spam, lo que sugiere que éstas pronto serán aún más difíciles de detectar.

¿Por qué es difícil detectar a las imágenes Spam?

Las imágenes spam surgieron hace algunos años. Originalmente fueron creadas para pasar inadvertidas por los filtros "heurísticos" que bloquean los mensajes que contienen palabras y frases que generalmente encontramos en los correos spam. Como los archivos de imágenes están en un formato totalmente diferente al del texto de los correos electrónicos, los filtros heurísticos nunca "identifican" el contenido del mensaje. Por lo tanto, este tipo de spam venció muy fácilmente a estos filtros.

Para resolver este problema los vendedores de soluciones anti-spam desarrollaron tecnologías "fuzzy signature" (identificación imprecisa). Estas tecnologías que se basan en la identificación recopilan muestras de spam conocido y posteriormente clasifican los mensajes que son "prácticamente idénticos" como correo spam. Esta identificación algunas veces sólo se compara con el mensaje adjunto, para que los mensajes que tienen un contenido diferente pero el mismo archivo adjunto se clasifiquen de todas formas como spam.

Los sistemas de protección que se basan en la identificación del remitente fueron eficaces por muchos años. En 2006, sin embargo, los spammers empezaron a distribuir aleatoriamente imágenes que parecen iguales para el ojo humano, pero totalmente diferentes para los filtros de spam. Por ejemplo, algunos spammers están enviando mensajes anunciando la venta de acciones con un archivo .gif adjunto con "puntos" insertados al azar en la imagen con variaciones ligeras en el ancho y el color de los bordes. Los identificadores que utiliza la mayoría de los proveedores de soluciones anti-spam para detectar estos ataques varían significativamente, basándose en estos pequeños cambios de la imagen. Esto significa que los proveedores anti-spam pueden crear un protocolo que detenga este ataque, pero éste no detendrá al resto de los mensajes spam durante el ataque.

Existe prácticamente una variedad infinita de formas en las que los spammers pueden distribuir aleatoriamente las imágenes. Además de insertar puntos, recientemente los spammers han utilizado técnicas como la alteración de los colores de una imagen, del ancho y del patrón del borde, de la fuente y también "la división" de las imágenes en pequeños pedazos (que después se vuelven a unir para que parezca una sola imagen a la vista de quien la recibe). La página 3 incluye dos ejemplos de las diversas técnicas que han utilizado recientemente los spammers para pasar inadvertidos por los sistemas de protección.

Ejemplo 1

"Polka Dots"

Un archivo .gif integrado en el que todo el "texto" tiene puntos insertados aleatoriamente en la imagen para lograr que todos los mensajes parezcan únicos ante los filtros de spam

Ejemplo 2

"Slice & Dice"

Las imágenes se dividen en varios archivos más pequeños de diversos tamaños y después se vuelven a unir en el "cliente de correo electrónico" para aparecer como una sola imagen cuando lo reciban los destinatarios. El rectángulo que se marca en el diagrama anterior representa el borde de uno de los diversos (más de una docena) archivos de imágenes utilizados para construir este mensaje. Esta técnica se utiliza para pasar inadvertidos por los dispositivos de seguridad y dividir las palabras que podrían ser identificadas por el OCR (software de reconocimiento de caracteres ópticos).

Algunos proveedores han introducido recientemente el "Optical Character Recognition (OCR)" como un medio para detectar las imágenes spam. El software de OCR es una tecnología utilizada para extraer el texto escrito de una imagen. Aunque es más efectivo que las soluciones que se basan en la identificación, el OCR tiene muchas limitaciones. Primero, el OCR es muy costoso informáticamente hablando. Interpretar por completo cada mensaje y luego buscar palabras que coincidan en diferentes bibliotecas de combinaciones de caracteres puede tomar varios segundos por mensaje. Esto reduce el rendimiento del sistema a niveles muy bajos, inaceptables para casi cualquier ISP o empresa. Asimismo, el OCR es extremadamente vulnerable a la ofuscación. Aunque la tecnología moderna de OCR es confiable para detectar letras y números, puede ser burlado fácilmente a través de técnicas básicas utilizadas por los spammers. Por ejemplo, el OCR no es efectivo para detectar imágenes spam que contengan textos y gráficas hechas a mano o datos abstractos.

Protección Anti-spam de IronPort contra mensajes peligrosos con imágenes

IronPort Anti-Spam™ utiliza un método de múltiples niveles que detiene más del 98 por ciento del spam que contiene imágenes, sin registrar prácticamente ningún falso-positivo. El primer nivel de protección cuenta con el procesador Context Adaptive Scanning Engine™ (CASE) de IronPort. Después sigue un nivel interior de protección contra imágenes spam accionado por la tecnología de patente pendiente Multidimensional Pattern Recognition™ (MPR) de IronPort.

Escaneo Adaptable de Contexto (Context Adaptive Scanning)

La mayoría de los filtros anti-spam dependen en gran medida del análisis de contenido para poder detener el spam. Esto es como construir una casa sobre cimientos débiles. Todos estos filtros tienen una deficiencia en común, depender tanto de algo que fácilmente puede ser manipulado por los mismos spammers. Las imágenes son sólo uno de los casos en que los filtros de contenido no son totalmente eficaces. Como en los ejemplos de la página 3, el "contenido" del spam es invisible para muchos filtros porque está integrado en la imagen.

Para detectar las imágenes spam, IronPort ha complementado sus técnicas tradicionales basadas en el contenido con técnicas que analizan el contexto en el que el mensaje se recibió. Específicamente, CASE, que detecta riesgos analizando cuatro amplias áreas:

1. ¿Quién envió el mensaje y qué sabemos del remitente?
2. ¿Qué le invita a hacer el mensaje?
3. ¿Cuál es la naturaleza del contenido del mensaje?
4. ¿Cómo se creó el mensaje, técnicamente hablando?

En vez de generar un método de identificación basado en el contenido del mensaje, IronPort creó un perfil específico de un ataque de imágenes spam que combina el "quién, qué, cuál y cómo" de un mensaje.

Por ejemplo, se puede crear un perfil para un mensaje que proviene de una dirección dinámica de IP, contiene un patrón específico de encabezado, tiene una imagen integrada de determinado tamaño/tipo y contiene poco o ningún texto en el cuerpo del correo electrónico. Es poco probable que alguno de estos factores por sí mismo indique con precisión que se trata de un mensaje spam, pero su nivel de precisión aumenta si se combinan. El escaneo adaptable de contexto permite que IronPort filtre la mayoría de los ataques de imágenes spam sin decodificar el archivo de la imagen. El segundo nivel de protección es proporcionado por Multidimensional Pattern Recognition (MPR).

Reconocimiento de patrones multidimensionales (Multidimensional Pattern Recognition)

Para el ojo humano las imágenes spam son muy fáciles de reconocer. De hecho, esta es una de las propiedades de las imágenes spam que las hacen tan atractivas para los spammers porque no tienen que esforzarse tanto para ocultar su contenido para evitar que sean filtradas como en el caso del spam de texto. Pero si este tipo de spam es tan obvio para el usuario final, ¿por qué no lo pueden identificar los filtros de spam?

El desafío es que los humanos interpretan el contenido de los mensajes utilizando un conjunto más amplio de datos que sólo el texto que se muestra. Los atributos como el color, la forma, el tamaño y tipo de fuente, las gráficas y muchas otras características también ayudan a determinar lo que percibe el lector de un mensaje. Esta información permanece completamente oculta para los filtros tradicionales de contenido y las tecnologías como el OCR sólo captan una fracción de la misma.

IronPort Anti-Spam desarrolló una tecnología con patente pendiente llamada Multidimensional Pattern Recognition (MPR) para resolver este problema. Después de decodificar los archivos binarios de imágenes, IronPort utiliza MPR para analizar la información descomprimida de la imagen a través de 13 dimensiones para determinar si el mensaje es o no spam.

El color es un ejemplo de una dimensión que ofrece información importante sobre el contenido de un mensaje. IronPort analiza la distribución de los colores encontrados en cada mensaje para establecer la probabilidad de que el mensaje sea spam. Por ejemplo, MPR puede escanear un archivo .gif para buscar patrones de píxeles que indiquen que el archivo de la imagen está mostrando "todo el texto" al usuario, un patrón que es común en el spam pero raro en los correos legítimos (la mayoría de los archivos .gif legítimos contienen fotografías no texto). MPR también puede detectar "puntos" anormales en las imágenes que no coinciden con los gradientes "más finos" de luz que generalmente se encuentran en los correos legítimos (estos puntos pueden indicar el intento de un spammer de burlar los filtros).

Para que este nivel de inspección se lleve a cabo sin comprometer el desempeño, IronPort aplica el concepto "early exit". Esto significa que el proceso más intenso de MPR sólo se aplica a mensajes con imágenes que ya han pasado por el proceso normal de escaneo de adaptable de contexto. Este mismo concepto también se aplica dentro del MPR. Si parte del archivo de la imagen ha sido analizada y hay suficiente información para determinar que sí se trata de un mensaje spam, entonces ya no se concluye el análisis. Como resultado tenemos un proceso que no solamente es más preciso sino mucho más rápido que las tecnologías tradicionales de OCR. Algo sumamente importante para la eficacia de esta tecnología es la capacidad de trabajar en tiempo real que tienen las appliances Anti-Spam de IronPort. Las actualizaciones del sistema se realizan cada cinco minutos, garantizando una protección inmediata y precisa contra los ataques de imágenes spam.