Entrevista completa acerca del spam para el diario La Nación

A continuación reproduzco el texto completo de la entrevista que me realizara Sol Amaya para el diario La Nación

Parte de la misma fue reproducida en la nota Los spams ya representan el 96,5% de los e-mails y no hay leyes que los castiguen publicada el 22 de septiembre de 2008 en la sección Información General .

La entrevista fue un cuestionario que me remitió la periodista el 2 de agosto de 2008 que yo contesté al día siguiente.

Mariano

Como te comentaba por teléfono, estoy haciendo una nota sobre el tema del spam en la Argentina y la falta de legislación al respecto. El contexto en el que se basa esta nota es la reciente modificación a la ley de delitos informáticos, y el último fallo en USA contra un spammer (link a la nota)

Lo que me interesa es saber cuáles son las últimas estadísticas sobre el envío de spam en la Argentina, cómo se puede regular, cómo se perjudica a los usuarios, si hay tecnología suficiente en el país para rastrear el origen del correo basura, etc. Te paso algunas preguntas:

La Nación: Además de algunos fallos, ¿hay alguna legislación que regule específicamente el tema del spam? ¿Cuáles son las penas, en caso de que las haya?

Mariano Absatz: Hasta ahora no hay una regulación específica acerca del spam en Argentina. Hasta donde yo sé, las acciones legales que se han realizado en contra de spammers se han basado en la Ley de Protección de Datos Personales (tambien llamada Ley de Hábeas Data), por la cual vos podés exigir que se borre tu dirección de una base de datos, pero en general no es mucho lo que puede hacer esta ley para combatir el spam (por otra parte, su objetivo no era ese).

En realidad, legislar el tema del spam en forma específica probablemente sea un error, creo que en ese sentido es mejor la Ley 26.388 recientemente sancionada acerca del “Delito Informático“ donde, en lugar de tratar de armar una legislación específica para la tecnología (que será obsoleta en poquísimo tiempo), se han adaptado las normativas generales (el Código Penal) a las nuevas modalidades delictivas.

Si bien no sé si ya hay casos que estén actuando en el marco de esta Ley, creo que el Artículo 9° cubre la falsificación de remitente de un mail (que es una técnica utilizada en la gran mayoría de los spam). También podría interpretarse el envío de spam como entorpeciendo las comunicaciones, lo que está cubierto en el Artículo 12°.

LN: ¿Cómo se hacen estas denuncias? ¿A quién hay que dirigirse?

MA: Respecto de la Ley de Hábeas Data las denuncias hay que hacerlas en la Dirección Nacional de Protección de Datos Personales. Respecto de la nueva Ley de Delito Informático, supongo que hay que hacer la denuncia en la justicia o en una comisaría como con cualquier delito penal… habría que preguntarle a un abogado (si te sirve, conozco algunos que se dedican a estos temas y sin duda saben muchísimo más que yo al respecto).

LN: ¿Cómo obtienen las bases de datos?

MA: Las bases de datos salen de muchos lugares… en principio, parte del negocio de los spammers es vender bases de datos para enviar spam… puedo buscar en mi archivo de spam y encontrar ofertas de este tipo de a decenas por semana, de hecho, el famoso primer juicio a un spammer en Argentina fue por un caso de este tipo.

Estas direcciones pueden salir de distintos lugares:

  • búsquedas en Internet (robots que navegan por las páginas, del mismo modo que hacen los de Google o Yahoo! para indexar sus motores de búsqueda, pero que buscan direcciones de mail y las guardan)
  • campañas de márketing poco claras, muchas empresas, en línea o no te piden que dejes tu dirección de mail sin aclararte que pueden enviarte publicidad y sin contarte que la base de datos con las direcciones de mail la podrían vender (algunas avisan, pero la mayoría de la gente no presta atención y pone su dirección alegremente)
  • venta ilegal de bases de datos con direcciones de mail de bancos, tarjetas de crédito, organismos estatales y privados, etc. En general no es la empresa u organismo en sí que hace la venta, si no un empleado deshonesto. En general, y pese a la Ley de Habeas Data (que justamente protege esto), la mayoría de las empresas y organismos no tiene un control fuerte sobre qué pueden hacer sus empleados con acceso a esta información.

LN: ¿Qué se pone en riesgo a través del spam?

MA: Amén del derecho a la privacidad, hay varias cosas que están en riesgo. Como el costo del envio de spam es infinitamente inferior (para el remitente) que el envío de otro tipo de publicidad, muchas de las operaciones envían mensajes a millones de direcciones donde la mayoría de ellas ni siquiera existe.

El costo de envío, rechazo, almacenamiento, etc queda a cargo del receptor (esto es por el modo de funcionamiento intrínseco del mail en internet), es por esto que los proveedores de internet, empresas y organismos que manejan su propio correo, deben gastar grandes fortunas en equipamiento, comunicaciones, software para filtrado, horas hombre de administración, etc.

Es por esto que usualmente decimos que lo deshonesto del spam pasa por ser publicidad con costo al receptor… ¿qué pasaría si La Nación decide dejar de cobrarle a los anunciantes y pasar la mayor parte del costo del diario al precio de tapa? ¿Cuánta gente pagaría 20, 30, 50 pesos o más por un ejemplar? Eso es lo que pasa con el spam.

Los proveedores de internet (que me dan a mí conectividad y una casilla de correo y, usualmente, algún nivel de filtrado de spam) gastan miles de dólares en equipamiento, software y, sobre todo, operaciones para que a pesar del spam, yo reciba mi correo. Ese costo, el proveedor claramente lo tiene incorporado en el abono que me cobra a mí y a los demás usuarios todos los meses.

LN: ¿Cuál es la finalidad del spam?

MA: Esto ha cambiado un poco a lo largo del tiempo.

Originalmente (hace unos 15 años), la finalidad era meramente publicitaria. Se utilizaba para vender productos o servicios, o, a veces, para difusión de ideas políticas.

Hoy en día se ha transformado también, en muchos casos, en un medio indirecto de ataque o estafa. Se envían mensajes haciéndose pasar por un banco intentando convencerte de que sigas un link y carges tu usuario y clave (esto funciona muy bien y es fácil de hacer); se envían mensajes por cualquier tema (inclusive mensajes que parecen estar relacionados con el bien público o la solidaridad) y se invita a reenviar a todos los contactos incluyendo alguna dirección especial (que es la que recaba las direcciones) o a hacer click en un sitio que probablemente infecte la computadora de quien lo hace; etc.

LN: ¿Quiénes son los principales perjudicados?

MA: El público usuario de internet en general… me atrevería a decir que todos excepto los directamente beneficiados por el spam.

LN: ¿Hay algún antecedente como el caso del neoyorquino que debe ir a prisión por 30 meses por envío masivo de spam?

MA: Sí… en USA hubo varios casos a partir de la sanción de una Ley específica (la CAN-SPAM)… googleando rápidamente:

Seguro que si hablás con alguno de los abogados que se dedican al tema tienen información más específica.

LN: ¿La argentina es uno de los peores países en lo que es envío de spam?

MA: En ese sentido hemos mejorado relativamente en los últimos años, pero en realidad, creo que lo que pasó es que otros países han empeorado más rápido que nosotros (ya que, en valores absolutos, estamos siempre peor que antes).

Spamhaus tiene un ranking confiable en el que hace 4 ó 5 años teníamos el 5° lugar y ahora no aparecemos en el top ten: http://www.spamhaus.org/statistics/countries.lasso

LN: ¿Cómo se hace para detectar de dónde proviene? ¿Hay tecnología lo suficientemente avanzada?

MA: En general es muy difícil detectar el origen inicial de un spam. Mirando las cabeceras de un mensaje se puede saber por dónde pasó justo antes de llegar a nuestro proveedor, toda información de los puntos anteriores es fácilmente falsificable.

LN: ¿Hay penas para quienes venden las bases de datos?

MA: Creo que sí, están en la Ley de Delito Informático (ver Artículo 8°).

LN: ¿Qué significa que muchos spam se manden desde “Equipos secuestrados“?

MA: Significa utilizar equipos conectados a Internet donde el spammer ha logrado infiltrarse y ejecutar un programa que, de modo similar a un virus, corre sin la autorización o conocimiento del dueño de la computadora.

Dada la cantidad de equipos hogareños conectados 24 horas por día a internet, esto es una gran cantidad de computadoras que están a la merced de spammers y todo tipo de crackers que con mucha facilidad toman control del equipo y lo utilizan tanto para enviar spam como para atacar otros equipos en forma remota.

LN: Desde ya muchas gracias por la colaboración.

MA: Espero que te sirva, Saludos.

Esta entrada fue publicada en artículos y etiquetada , , , , . Guarda el enlace permanente.

Deja un comentario