¿Qué es el spam y cómo evitarlo?

En los vastos dominios de la comunicación digital, pocas cosas son tan universalmente reconocidas y rechazadas como el correo no deseado, más conocido como spam. A menudo considerado el correo basura del mundo cibernético, el spam se ha convertido en un problema persistente tanto para los usuarios de Internet como para las empresas y las plataformas online.

El spam, en el contexto de la ciberseguridad, cuyo significado se refiere a cualquier mensaje no solicitado y a menudo irrelevante o inapropiado enviado a través de Internet, normalmente a un gran número de usuarios, principalmente con fines publicitarios, de suplantación de identidad, propagación de malware u otros fines similares. El término se asocia más comúnmente con los mensajes de correo electrónico no solicitados, pero también se aplica a los mensajes enviados a través de otros medios electrónicos, como la mensajería instantánea, las plataformas de medios sociales o las aplicaciones móviles.

La característica fundamental del spam es que es no deseado, es decir, que el destinatario no ha dado su permiso para recibir el contenido. A medida que la tecnología y los canales de comunicación han evolucionado, también lo ha hecho la naturaleza del spam, lo que lo convierte en un desafío en constante evolución en la era digital.

La cronología del spam va en paralelo con la evolución de la comunicación digital. A medida que la tecnología avanzaba y proporcionaba más canales de comunicación, el spam se abría paso constantemente en esos canales. He aquí una breve semblanza de su historia:

El término “spam” tiene su origen en un icónico sketch del grupo de humoristas Monty Python de los años 70, en el que un grupo de vikingos en un restaurante canta sobre el SPAM, un producto cárnico enlatado. La implacable e inevitable repetición de la palabra “SPAM” sirvió como metáfora de la naturaleza omnipresente de los mensajes electrónicos no deseados. Esta comparación arraigó en los primeros días de Internet y pronto se convirtió en el término más empleado para describir los mensajes electrónicos no solicitados.

No fue hasta 1978 cuando se dio a conocer uno de los primeros y más pronunciados casos de spam. Un vendedor llamado Gary Thuerk envió un correo electrónico a 393 destinatarios en la ARPANET (Advanced Research Projects Agency Network, en español: Red de la Agencia de Proyectos de Investigación Avanzada, precursora del Internet moderno) anunciando una presentación de una nueva línea de ordenadores. Esta acción fue recibida con una importante reacción negativa, ya que violaba la política de uso aceptable de ARPANET.

En la década de 1980, a medida que los grupos de noticias de Usenet se popularizaban, también se convirtieron en objetivo del spam. Un caso tristemente célebre de 1994 fue el de los abogados Canter y Siegel, que publicaron masivamente un mensaje publicitando sus servicios jurídicos en materia de inmigración. La acción fue ampliamente criticada y a menudo se cita como uno de los principales incidentes que llevaron el spam al primer plano de los problemas de Internet.

Con la popularización del correo electrónico en la década de 1990, el spam encontró su salida más notoria. A finales de los 90 y principios de los 2000, los correos electrónicos basura se convirtieron en un problema importante, lo que impulsó la creación de software y filtros específicamente diseñados para combatirlos.

Debido a la creciente amenaza del spam, diversos países promulgaron leyes para frenarlo. En España para regular esta problemática, se creó la Ley General de Telecomunicaciones 11/2022, de 28 de junio, que entró en vigor en el 2023. A pesar de estas normativas, el spam sigue siendo un desafío, pero también propició la evolución de sofisticados filtros de spam y otras contramedidas.

Aunque el correo electrónico sigue siendo un medio habitual para el spam, el fenómeno se ha extendido a otras plataformas, como la mensajería instantánea, las redes sociales, los blogs y las aplicaciones móviles. Hoy en día, el spam adopta diversas formas, desde mensajes SMS no deseados hasta publicaciones no solicitadas en las redes sociales.

A lo largo de los años, a medida que el panorama de Internet se ha ampliado y diversificado, también lo ha hecho el spam. Desde un simple correo electrónico no solicitado en ARPANET hasta sofisticadas campañas de phishing en las redes sociales, el spam sigue siendo un reto persistente, que refleja tanto el oportunismo como la adaptabilidad de sus autores.

A medida que las plataformas de comunicación digital han evolucionado y se han multiplicado, la naturaleza y la variedad del spam se han ampliado. Aunque todo el spam es no solicitado y no deseado, la intención que hay detrás de estos mensajes puede variar mucho. A continuación le presentamos algunos de los tipos más comunes:

Spam por correo electrónico

Quizás la forma de spam más ampliamente reconocida, el spam por correo electrónico implica mensajes no solicitados enviados en masa a numerosos destinatarios. Estos correos electrónicos van desde anuncios relativamente inocuos, pero no solicitados, hasta estafas maliciosas por correo electrónico que contienen malware o esquemas de phishing.

Spam sobre mensajería instantánea (SpIM)

Abreviatura en inglés de “Spam sobre mensajería instantánea”, el SpIM es el equivalente al spam por correo electrónico pero en plataformas de mensajería instantánea. Los usuarios reciben mensajes no deseados y no solicitados, a menudo procedentes de bots o cuentas comprometidas. Pueden incluir promociones, anuncios o enlaces a sitios web maliciosos.

Spam en redes sociales

Con el auge de plataformas como Facebook, Twitter e Instagram, los spammers han encontrado nuevas vías para distribuir sus contenidos. Este tipo de spam puede consistir en cuentas falsas, mensajes directos no solicitados o comentarios spam en publicaciones.

Spam en motores de búsqueda

Los spammers manipulan los motores de búsqueda para que muestren determinados contenidos, normalmente de carácter promocional o engañoso. Utilizan técnicas como el relleno de palabras clave, el encubrimiento o las páginas de entrada para engañar a los algoritmos de búsqueda y lograr una mejor clasificación de los contenidos de spam.

Spam en comentarios de blogs

Los spammers suelen inundar los blogs con comentarios irrelevantes o promocionales para generar backlinks o atraer a usuarios desprevenidos a sitios maliciosos. Estos comentarios suelen tener poco que ver con el contenido real del blog y pueden contener enlaces a sitios no relacionados.

Spam por SMS (mensaje de texto)

Al igual que el spam por correo electrónico, pero enviado a través de mensajes de texto, el spam por SMS suele promocionar productos dudosos, concursos falsos o intentos de phishing. Con la prevalencia de los teléfonos inteligentes, este tipo de spam ha experimentado un aumento significativo en los últimos años.

Spam de llamadas

A menudo denominadas robocalls, se trata de llamadas pregrabadas no solicitadas. Pueden anunciar un producto, hacer afirmaciones falsas sobre premios o haber ganado loterías, o incluso intentar estafar al destinatario.

Spam de trackback/pingback

Los spammers utilizan los trackbacks y pingbacks en las plataformas de blogs para notificar cuando un blog enlaza con otro. Abusan de esta funcionalidad para generar enlaces a sus sitios, aunque su contenido no esté relacionado.

Spam de imágenes

Para eludir los filtros de spam basados en texto, los spammers incrustan texto (a menudo anuncios o enlaces maliciosos) en imágenes. Cuando un usuario recibe un correo electrónico, puede ver una imagen que, al hacer clic sobre ella o verla, transmite el mensaje del spammer o redirige a un sitio malicioso.

Ante esta multitud de tipos de spam, los internautas deben estar alerta y las empresas deben implementar medidas sólidas para protegerse de estas amenazas. Cada tipo de spam no sólo representa una molestia potencial sino, en muchos casos, también un riesgo para la ciberseguridad.

El correo electrónico basura, o correo comercial no solicitado (UCE, del inglés “Unsolicited Commercial Email”), es publicidad masiva no deseada y cuestionable. En su momento álgido, el correo electrónico basura representó el 92% de todo el tráfico de correo electrónico, aunque la mayor parte del spam no era malicioso.

Los remitentes de spam pueden comprar listas de correo legítimas, pero lo más probable es que utilicen el web scraping para recopilar direcciones de correo electrónico publicadas en toda la red. Otra posibilidad es que generen listas de contactos mediante permutaciones de nombres y dominios, como firstnamea@gmail.com o firstnamea@gmail.com.

Dado que el éxito del spam se basa en el volumen, los spammers generan por sistema y envían por correo electrónico el mismo mensaje a toda su lista de contactos, esperando que alguien haga clic. A veces, los spammers añaden frases o palabras generadas aleatoriamente al mensaje para que cada uno parezca diferente y engañar a los filtros automatizados de protección del correo electrónico.

El contenido del correo electrónico de spam suele promocionar un producto o servicio y proporciona datos de contacto para que los destinatarios realicen un pedido.

Tanto el spam como el phishing abarrotan nuestras bandejas de entrada, pero difieren fundamentalmente en su finalidad y riesgo. El spam es principalmente promocional, a menudo inofensivo, al mostrar productos o servicios a una amplia audiencia. Normalmente enviado en masa, la principal molestia del spam radica en su gran volumen, y en el peor de los casos podría tratarse de infecciones de malware o pérdidas financieras menores.

Por otro lado, el phishing es un visitante más “malévolo”. Los correos electrónicos de phishing se elaboran para engañar a los destinatarios para que revelen información confidencial. Pueden estar finamente diseñados para imitar a entidades de confianza, aprovechando las llamadas urgentes a la acción para atraer a los incautos. Mientras que el spam es sobre todo una molestia, las consecuencias de caer en una estafa de phishing son más graves, desde el robo de identidad hasta importantes repercusiones financieras o incluso vulneraciones de datos a gran escala.

Mientras que el spam y el phishing son correos electrónicos no solicitados que pueden suponer una amenaza, el phishing es más selectivo y a menudo representa una amenaza mayor, por lo que requiere una mayor concienciación y precaución.

Reconocer el spam puede ser crucial para evitar posibles amenazas. He aquí una rápida lista de comprobación que le ayudará a detectar las características comunes del spam:

• Saludos genéricos: Mensajes que utilizan saludos vagos como “Estimado usuario” o “Estimado cliente”.
• Archivos adjuntos no solicitados: Archivos o enlaces inesperados de remitentes desconocidos.
• Errores ortográficos y gramaticales: Errores en el lenguaje, frases extrañas o formatos incoherentes.
• Demasiado bueno para ser verdad: Ofertas que prometen grandes recompensas a cambio de poco o ningún esfuerzo o inversión.
• Acción urgente requerida: Mensajes que le presionan con una sensación de urgencia, por ejemplo, “¡Actúe ahora!” u “¡Oferta por tiempo limitado!”.
• URL no coincidentes: Pase el ratón por encima de los enlaces sin hacer clic. La dirección mostrada debe coincidir con la del enlace.
• Solicitudes de información personal: Mensajes no solicitados en los que se piden datos personales o financieros.
• Remitentes desconocidos: Desconfíe siempre de los mensajes procedentes de direcciones de correo electrónico o números de teléfono desconocidos.
• Sin opción para darse de baja: Los boletines o promociones legítimos deben ofrecer una forma fácil de darse de baja.

Mantenerse alerta ante estas señales reveladoras puede ayudarle a navegar por sus comunicaciones digitales con mayor seguridad y confianza.

Combatir el spam requiere un enfoque polifacético adaptado a los canales de mensajería específicos. He aquí cómo puede fortificar sus defensas contra los distintos tipos de spam:

Cómo evitar los mensajes de spam

• Active los filtros integrados: En la actualidad, muchos teléfonos inteligentes incorporan filtros antispam para los mensajes. Asegúrese de que están activados.
• Denuncie los mensajes de spam: Si recibe un mensaje sospechoso de un número desconocido, comuníquelo a su proveedor de servicios. Reenviar el mensaje al número “7726” (que significa SPAM) suele funcionar en muchas regiones.
• Sea cauto a la hora de compartir: Evite compartir su número de móvil en internet siempre que sea posible.

Cómo evitar el correo basura

• Utilice filtros de correo electrónico: La mayoría de los proveedores de correo electrónico ofrecen filtros de correo electrónico que clasifican el spam sospechoso en una carpeta separada, manteniendo su bandeja de entrada principal más limpia.
• No haga clic en enlaces sospechosos: Aunque un correo electrónico eluda los filtros, sea siempre precavido. Evite hacer clic en enlaces de remitentes desconocidos.
• Anule la suscripción: Si se ha suscrito por error a un boletín de noticias o a una promoción, utilice el enlace “cancelar suscripción” que aparece en la parte inferior del correo electrónico.
• Utilice un correo electrónico independiente: Considere la posibilidad de utilizar una dirección de correo electrónico distinta para las inscripciones o las compras en línea. De esta forma, su correo electrónico principal estará menos saturado.

Cómo evitar llamadas spam

• Inscríbase en las listas de “no llamar”: Muchos países ofrecen registros nacionales de “no llamar”, que pueden reducir el número de llamadas de ventas no deseadas. En España se puede conseguir inscribiéndose en el fichero de exclusión publicitaria denominado Lista Robinson, que está gestionado por la Asociación Española de Economía Digital.
• Filtre sus llamadas: Si es posible, configure su teléfono para que solamente permita llamadas de sus contactos.
• Utilice aplicaciones de bloqueo de llamadas: Existen muchas aplicaciones de terceros pueden identificar y bloquear las llamadas de spam conocidas.
• Denuncie las llamadas no deseadas: Tras recibir una llamada de spam, denuncie el número a las autoridades locales o a su proveedor de telecomunicaciones.

Cómo evitar el spam en las redes sociales

• Ajuste la configuración de privacidad: Asegúrese de que sus perfiles en las redes sociales están configurados como privados y personalice quién puede enviarle mensajes o solicitudes de amistad.
• Sea selectivo a la hora de aceptar solicitudes: Acepte únicamente solicitudes de amistad o mensajes de personas que conozca.
• Denuncie a los spammers: Utilice la función de denuncia de plataformas como Facebook, Twitter e Instagram para notificarles la existencia de cuentas de spam.

Cómo evitar el spam en los motores de búsqueda

• Utilice motores de búsqueda de buena reputación: Limítese a motores de búsqueda conocidos como Google, Bing o DuckDuckGo, ya que disponen de mejores algoritmos de detección de spam.
• Instale bloqueadores de anuncios: Estos pueden filtrar muchos enlaces no deseados o potencialmente maliciosos de sus resultados de búsqueda.

Aunque ningún método puede garantizar la eliminación completa del spam, la combinación de estas estrategias puede reducir significativamente el número de mensajes y llamadas no deseados que recibe, garantizando una experiencia digital más segura y menos desordenada.

La prevención del spam consiste en adoptar comportamientos y estrategias holísticos en línea para reducir la cantidad de spam recibido. Siga estos consejos fundamentales de prevención para minimizar su exposición y vulnerabilidad.

• Formar y capacitar: Póngase al día regularmente, tanto usted como quienes le rodean, sobre las últimas técnicas de envío de spam. El conocimiento es la primera línea de defensa.
• Proteja su información personal: Limite el intercambio público de su dirección de correo electrónico, número de teléfono y otros datos personales. Evite introducir sus datos en formularios o concursos dudosos en línea.
• Utilice varias direcciones de correo electrónico: Reserve un correo electrónico para las comunicaciones personales y otro para las inscripciones en línea, las compras o los foros públicos.
• Actualice regularmente el software: Asegúrese de que su sistema operativo, navegadores web y software de seguridad están actualizados. Éstos suelen contener parches para vulnerabilidades conocidas que los spammers podrían aprovechar.
• Implemente los CAPTCHA: Si gestiona un sitio web o un formulario en línea, utilice CAPTCHA. Esto evita que los robots automatizados envíen formularios o dejen comentarios.
• Elija contraseñas fuertes y únicas: Utilizar buenas prácticas de contraseñas puede evitar que los spammers accedan a sus cuentas. Considere la posibilidad de utilizar un gestor de contraseñas como ayuda.
• Evite publicar información personal en público: Absténgase de publicar abiertamente su correo electrónico o datos de contacto en sitios web, foros o plataformas de redes sociales.
• Compruebe doblemente la configuración de privacidad: Revise y ajuste la configuración de privacidad para controlar quién puede ponerse en contacto con usted en las redes sociales y otras plataformas en línea.
• Evite responder al spam: Responder a los remitentes de spam o interactuar con ellos, incluso dándose de baja, puede confirmar que su dirección o número están activos.
• Utilice cortafuegos de red: Si dirige una empresa o una red, implantar un buen cortafuegos puede filtrar el tráfico malicioso y reducir el spam.

La integración de estas medidas preventivas en su rutina digital diaria reducirá significativamente su exposición al spam potencial, garantizando una experiencia en línea más limpia y segura.

El completo conjunto de herramientas y soluciones de Proofpoint dota a organizaciones y particulares de un mecanismo de defensa proactivo y estratificado contra el spam y otras ciberamenazas avanzadas. Proofpoint Email Protection es la columna vertebral detrás de la postura de seguridad de muchas organizaciones que ayuda a prevenir las amenazas de spam a través de diversas funcionalidades y técnicas, incluyendo:

• Filtros de correo electrónico basados en la reputación: Email Protection de Proofpoint utiliza filtros de correo electrónico basados en la reputación para identificar a los spammers conocidos y aprobar a los remitentes de confianza en función de su reputación. Esto filtra el spam y permite el paso de los correos electrónicos legítimos.
• Tecnología avanzada de aprendizaje automático: Email Protection de Proofpoint utiliza tecnología avanzada de aprendizaje automático, como NexusAI, para clasificar con precisión varios tipos de amenazas de correo electrónico, incluido el spam. Esta tecnología de ML se adapta a los nuevos ataques de spam a medida que aparecen, mejorando la eficacia de la detección de spam.
• Filtrado granular del correo electrónico: Email Protection de Proofpoint ofrece controles granulares de filtrado de correo electrónico para bloquear el spam, el “correo gris” masivo y otros correos no deseados. Las organizaciones pueden personalizar su configuración de filtrado de correo electrónico para gestionar eficazmente el spam.
• Notificación y concienciación del usuario: Email Protection de Proofpoint permite a los usuarios informar de los mensajes de spam recibidos directamente desde el propio correo electrónico. Esto permite a los usuarios contribuir a la detección y prevención del spam. Además, los correos electrónicos sospechosos se pueden etiquetar automáticamente para concienciar a los usuarios y ayudarles a identificar posibles amenazas.
• Técnicas de análisis de contenido: El producto Email Protection de Proofpoint emplea técnicas únicas de análisis de contenido para identificar el spam basándose en su contenido. Estas técnicas permiten una alta tasa de captura y bajos falsos positivos, lo que minimiza la entrega de correos electrónicos de spam.

En combinación con las funcionalidades de Advanced Threat Protection, Targeted Attack Protection y Security Awareness Training de Proofpoint, las organizaciones están bien equipadas para mitigar el spam y otras ciberamenazas. Para obtener más información, póngase en contacto con Proofpoint.