Por Enrique Rando González. (Delegación Provincial en Málaga de la Consejería de Empleo. Junta de Andalucía, España y Maria del Carmen Carrión Bermúdez, Patronato de Recaudación Provincial de Málaga, España.
Según un informe del Message Anti-Abuse Working Group (MAAWG), más del 85 por ciento del e-mail que circula por Internet es SPAM.
Éste es, por otro lado, un dato que ya no sorprende a nadie. Sí que quizá sea más llamativo el hecho de que un 12 por ciento de los receptores de estos correos muestran interés por los productos que se les ofrece. O que aproximadamente la mitad de los usuarios confiesan haber hecho clic alguna vez en los enlaces que aparecen en dichos mensajes.
Basta un rápido análisis del contenido del SPAM que se recibe diariamente para determinar los tipos de productos que se ofertan por estos métodos ilegítimos. Entre otros, réplicas de relojes, artículos de moda y complementos, titulaciones universitarias falsas y fármacos. Negocios que, en numerosas ocasiones, tienen como trasfondo a personas con serios problemas que las vuelven vulnerables y a organizaciones que aprovechan cada oportunidad que se les presenta para obtener dinero de forma ilícita.
Estas actividades causan serios problemas sociales, económicos y sanitarios. En ocasiones, se trata de ventas ilegales de productos reales (por ejemplo, sin el debido control médico-sanitario). En otras, de venta de productos falsos, o de estafas en las que la mercancía no es enviada nunca al cliente. Incluso pueden tratarse de sistemas para el robo de datos bancarios. Cualquiera que sea su modalidad, contribuyen al establecimiento de una economía sumergida y al mantenimiento de organizaciones de carácter delictivo.
El problema del alojamiento de las páginas de venta ilegal de fármacos
Cualquier negocio de venta online, y el que nos ocupa no es una excepción, necesita una o varias páginas web a través de las que ofertar sus servicios: un escaparate virtual. Las organizaciones dedicadas a la venta ilegal de fármacos disponen de varias opciones para ello. La primera y más obvia es registrar un dominio y poner en Internet sus propios servidores o contratar servicios de alojamiento web.
El problema que se les plantea en este caso es que son sistemas trazables, localizables y, por tanto, relativamente fáciles de cerrar, con la correspondiente pérdida de la inversión realizada. Normalmente, se eligen países con legislaciones permisivas o con huecos legales en la materia para establecer los puntos finales de venta y de promoción. La segunda es ocupar espacios públicos y/o gratuitos en Internet.
Por ejemplo, mediante la creación de grupos de usuarios en Google o Yahoo. Pero estas compañías suelen actuar, bien a iniciativa propia, bien ante denuncias, eliminando los grupos o cuentas utilizadas de forma ilícita. En ambos casos, las organizaciones ilegales deben realizar un continuo esfuerzo para abrir nuevas páginas web a medida que gobiernos y proveedores de servicio van cerrando las que encuentran.
Pero existe una tercera opción: introducir contenidos ilegítimos en páginas y sistemas de terceros. Buscar páginas que no cuenten con el debido mantenimiento y monitorización y modificarlas. O crear páginas nuevas o instalar servicios en equipos ajenos. Pueden pasar meses, e incluso años, antes de que los propietarios de estas páginas o estos servidores sean conscientes de los contenidos que albergan. E incluso más tiempo aún hasta que estén en condiciones de implementar una solución eficaz y duradera. Pero ésto no es todo: los vendedores pueden aprovechar la credibilidad de otras organizaciones y utilizarla para respaldar su negocio. Así, es habitual que busquen páginas web, aplicaciones o servidores vulnerables o mal gestionados pertenecientes a Administraciones Públicas u otros organismos y entidades relacionados con el mundo sanitario y educativo.
Ocupación ilegítima de páginas y sitios web
Los ejemplos mostrados en esta sección, así como en las siguientes, son casos reales de páginas gubernamentales y de prestigiosas organizaciones relacionadas con la salud o la educación que actualmente son utilizadas para dar soporte a la venta ilegal de fármacos. Por razones obvias, se han eliminado los elementos que podrían hacer reconocibles a las entidades responsables de dichas páginas y se ha notificado el problema, cuando ha sido posible, a los responsables de las correspondientes webs.
Los entornos colaborativos y de web 2.0 son utilizados por muchos gobiernos y organizaciones para fomentar la participación ciudadana o difundir mensajes de utilidad pública. No es necesario destacar aquí las ventajas y oportunidades que estos sistemas presentan. Pero en muchas ocasiones son gestionados de forma inapropiada, ofreciendo un amplio abanico de posibilidades a los grupos dedicados a actividades ilegítimas. Sirva como ejemplo la Figura 1.
Figura 1. Uso de cuentas de Moodle para construir un escaparate virtual.
El problema de atraer al público
Una vez montadas la infraestructuras de venta y escaparates, es necesario atraer a los clientes potenciales. Para ello, estos grupos utilizan técnicas que incluyen la contratación directa de publicidad en otras páginas o en buscadores, el intercambio de banners y, como no, el SPAM en todas sus variedades: correo, foros, grupos, etc. De nuevo, los sitios web de índole participativo pueden ser manipulados con fines ilegítimos.
Comentarios o posts en blogs, como los de la Figura 2, mensajes en foros (Figura 3), wikis (Figura 4).
La falta de seguimiento de los contenidos y de una apropiada administración permiten utilizar estos recursos como reclamo publicitario.
Figura 2. Comentarios en un blog gubernamental.
Figura 3. Mensaje en un foro.
Figura 4. Página en una Wiki.
En todos estos casos no sólo se persigue exhibir publicidad sobre sus páginas a la vista de posibles lectores desprevenidos. Mucho más importante para los responsables de este negocio es el posicionamiento en buscadores (SEO - Search Engine Optimization). Si consiguen que numerosos documentos en Internet contengan hiperenlaces a las páginas cuyos contenidos controlan, los buscadores como Google o Bing pueden asignarles un grado mayor de relevancia y hacerles aparecer en las primeras posiciones en sus resultados.
Con este objetivo en mente, algunos de estos grupos dan un paso más, y utilizan técnicas ilícitas para modificar las webs de organismos gubernamentales, empresas, asociaciones y otras entidades. Cuanto mayor reconocimiento y prestigio tengan sus víctimas, mejor. Así, no es difícil encontrar casos como el mostrado en la Figura 5.
Figura 5. Introducción de enlaces ocultos en página gubernamental.
La página en cuestión no incluye aparentemente ninguna referencia a la venta de fármacos. Sin embargo, si se analiza su código fuente HTML puede comprobarse la exstencia de múltiples hipernelaces a distintas direcciones relacionadas con este tema. Nótese que en este caso se hace uso de un tamaño de tipo de letra igual a cero para hacer que el texto sea invisible. Ésta y otras técnicas similares permiten que los enlaces pasen desapercibidos a la inmensa mayoría de las personas, incluyendo a los propietarios de la página, pero no a los buscadores, que son su verdadero objetivo.
Pero... ¿cómo consiguen modificar páginas webs de otras organizaciones? No se puede generalizar al respecto pero, en muchos casos, basta un análisis preliminar de dichas páginas para comprobar la presencia de vulnerabilidades ante ataques de SQL Injection o similares que pueden ser la raíz del problema.
En otros, se utilizan versiones antiguas de aplicaciones que tienen fallos de seguridad conocidos. De nuevo, las malas prácticas en la administración de las aplicaciones (o incluso la falta de administración) hace posibles situaciones no deseadas. En particular, se ha podido comprobar que en el ámbito educativo, colaborativo y divulgativo proliferan los proyectos de teleformación, en muchas ocasiones sin el debido control. Estos proyectos carecen frecuentemente de personas con conocimientos de gestión de sistemas. Otras veces son abandonados y quedan operativos pero sin ningún seguimiento ni vigilancia. Cualquier duda sobre la gravedad de la situación se disipa con sólo buscar en Google conjuntamente las palabras moodle y viagra y ojear algunos de los cientos de miles de páginas encontradas.Figura 6. Teleformación sin control = problemas.
Figura 6. Teleformación sin control = problemas.
Antes de concluir, cabe destacar también que las organizaciones de venta no siempre construyen sus propios sistemas de escaparate, de redirección y de SEO, sino que pueden contratar estos servicios a terceros. Éste es un mercado en el que, cada vez más, se impone la especialización.
Figura 7. Infraestructuras en el negocio de venta.
Las organizaciones dedicadas a la comercialización ilegal de fármacos intentan utilizar medios gubernamentales y de otras organizaciones para construir sus infraestructuras de venta y promoción. De este modo, utilizan para sus fines unos recursos pagados con los impuestos de los contribuyentes que deberían estar dedicados a satisfacer los intereses públicos. Por otro lado, este menoscabo en los medios puede comprometer la prestación de algunos servicios, sobre todo en unos tiempos de crisis económica como los que ahora vivimos.
A todo esto habría que sumar la posibilidad de que los medios de comunicación publiquen noticias sobre la presencia de páginas dedicadas a activides ilegales en servidores de instituciones y organizaciones, con el impacto que podrían tener sobre su credibilidad y buena imagen. Conocer al enemigo puede ayudar a evitar que este tipo de situaciones se produzcan. Pero no basta sólo con ello.
Para empezar, se debe realizar una cuidadosa gestión de los servicios de web participativa y de las aplicaciones desplegadas en los sitios web, designando personas responsables de monitorizar los contenidos, la creación de cuentas y la publicación de mensajes y comentarios. Tampoco deben olvidarse los temas relacionados con la Seguridad de la Información, no obviando actividades tan fundamentales como el análisis de vulnerabilidades a las aplicaciones desplegadas o las auditorías de seguridad, e introduciendo metodologías y técnicas de programación seguras.
Por otro lado, debe garantizarse un adecuado grado de actualización y securización de los sistemas y programas utilizados. Cuando un sistema deje de ser útil, debería ser puesto fuera de servicio. En el caso de que, por cualquier motivo, no fuera conveniente o posible su cierre, se deberían tomar las medidas necesarias para que su información y contenidos no puedan ser modificados, ni se permita el registro de nuevas cuentas de acceso.
Como último consejo, junto con una monitorización activa de los contenidos, debería implantarse un sistema de reporte de contenidos no adecuados que permita a los usuarios y las usuarias dar la alerta sobre cualquier situación anómala que pudieran descubrir.Y, si le asalta la incertidumbre, siempre puede usar los servicios de "búsqueda avanzada" de Google o Bing (o, mejor, de ambos) y pedirles que muestren resultados para la palabra "viagra" en su dominio.
Nunca se sabe...
Referencias Bibliográficas
- MAAGW. MAAWG Consumer Survey Part I-Survey Analysis: A Look at Consumers' Awareness of Email Security and Practices or "Of Course, I Never Reply to Spam – Except Sometimes".
Hallado en http://www.maawg.org/about/publishedDocuments/2009_MAAWG-Consumer_Survey-Part1.pdf.
Acceso el 13 de agosto de 2009.
- MAAGW. MAAWG Consumer Survey Part II-Detailed Findings & Charts: A Look at Consumers' Awareness of Email Security and Practices.
Hallado en http://www.maawg.org/about/publishedDocuments/2009_MAAWG-Consumer_Survey-Part2.zip.
Acceso el 13 de agosto de 2009.
- Sergio de los Santos y Chema Alonso. Últimas Tendecias en el Malware: "Enséñame la pasta". Documentación y Video de la charla hallados en http://download.microsoft.com/download/c/3/f/ c3f6ea8a-4a6a-4f18-9520-c27bc40a9388/TechNet_SecDay07_Malware.ppt y http://video.google.com/videoplay?docid=-1809012425575205883. s
Acceso el 15 de agosto de 2009.
- G-DATA. La crisis financiera llega al SPAM. Hallado en http://gdata-antivirus.blogspot.com/2009/05/la-crisis-financiera-llega-la-industria.html.
- José María Alonso Cebrián y Enrique Rando González. Técnicas SEO para gente de moral relajada. Hallado en http://www.elladodelmal.com/2009/10/ seo-para-gente-de-moral-relajada-i-de.html.
Acceso el 16 de septiembre de 2010.
- SEGU-INFO. Sitios gubernamentales argentinos con Viagra. Hallado en http://blog.segu-info.com.ar/2009/04/sitios-gubernamentales-con-viagra.html. Acceso el 18 de agosto de 2009.
No hay comentarios:
Publicar un comentario