Escucho la pregunta anterior con bastante frecuencia, poco después de que me pregunten el clásico "¿en qué trabajas?" Mi respuesta es, "trabajo en marketing para una empresa llamada Spamhaus". Después pasamos al inevitable "¿spam-qué?" y acabamos con "¿a qué se dedica?" Normalmente respondo simplemente "a la ciberseguridad", porque normalmente eso es todo lo que entienden los inexpertos. Está claro que no menciono "somos la autoridad en reputación de dominios y de IP" porque, sinceramente, hace no tanto tiempo, incluso yo habría dicho "¿quééé?" Escribo este artículo para todos aquellos que no tienen una estrecha relación con este sector porque las personas con las que trabajo son extraordinarias. El mundo debería saber lo que hacen para proteger en silencio a todas las personas que no saben qué es Spamhaus, ya sea tu abuela o el nerd de redes de la oficina.

Fundamentos de a qué se dedica Spamhaus

Spamhaus analiza grandes cantidades de datos y crea listas de aquellos recursos de Internet con mala reputación por estar relacionados con actividades maliciosas.

Incluso esta breve frase necesita una explicación:

  • Al decir “recursos de Internet” me refiero a direcciones IP [1], dominios [2], direcciones de criptocarteras, de correo electrónico y archivos de malware.
  • Por “actividad maliciosa” me refiero a todo tipo de “fechorías”, como el ransomware, el malware, el phishing y el spam. Debo señalar que para Spamhaus el “spam” es “todo mensaje que se envía sin ser solicitado y de forma masiva.”
  • Con “grandes cantidades de datos” me refiero al promedio que evaluamos y procesamos aproximadamente durante un periodo de 24 horas:
    • 4000 millones de conexiones SMTP (conexiones relacionadas con el correo electrónico)
    • 3 millones de dominios
    • 18 000 muestras de malware

Los especialistas en seguridad y TI utilizan estas listas de dominios y direcciones IP. Ofrecen al sector el control y la información necesarios para proteger a sus usuarios contra “fechorías”, como las actividades maliciosas que he señalado antes. Y cuando digo “usuarios” me refiero a ti, la persona que estás leyendo esto.

¿Cómo se compilan estas listas de reputación de dominio y de IP?

En pocas palabras, con mucho esfuerzo, años de experiencia y trabajando con la comunidad global de Internet.

Empecemos por este último punto, la comunidad global de Internet. Sin una comunidad que comparta datos, Internet sería lo más parecido al salvaje oeste. De hecho, así es como solían describirla cuando todavía estaba en pañales.

PERO NO PUEDES COMPARTIR DATOS (te escucho vociferar). Tienes razón. No es posible compartir la información de identificación personal (PII), y así debe ser. Nunca. Sin embargo, la infraestructura en la que se basan tus actividades en Internet tiene conexiones asociadas con ellas, como enviar un correo electrónico, navegar por la web o iniciar sesión en el sistema de contabilidad de tu empresa.

Estas conexiones no contienen PII. Sin embargo, cuando se analizan, pueden revelar si son utilizadas por individuos poco confiables para cometer fraudes o, en algunos casos, por tu carnicero local para inundar de spam a sus clientes enviando correos electrónicos de marketing.

Se comparten datos de todos los rincones de la red

Spamhaus cuenta con una extensa red de sensores que recopilan datos de conexión en las redes: desde organizaciones gubernamentales en todo el mundo hasta los proveedores de Internet líderes del sector, pasando por investigadores y analistas especializados. Y no nos olvidemos de las trampas de spam internas y honeypots. Los datos proceden de los cuatro puntos cardinales.

Llegados aquí, te estarás preguntando “¿por qué las personas confían estos datos a Spamhaus?” Es una buena pregunta… que me lleva a hablar de la “experiencia”.

Más de dos décadas trabajando de manera independiente y ética

¿Recuerdas que dije que Internet era algo parecido al salvaje oeste? Bien, Spamhaus fue fundada en 1998 por Steve Linford. No le gustaba la cantidad de spam y abusos que veía en Internet, así que empezó a crear listas de las direcciones IP relacionadas con ello. Esto pronto ganó impulso a medida que otros geeks (sin intención de ofender a Steve) de todo el mundo se unieron a esta lucha contra el abuso en Internet.

El Spamhaus Project lleva años recopilando listas de reputación de dominios y de IP. Si quieres colaborar con esta tarea, quieres trabajar para Spamhaus. Los investigadores del Spamhaus Project proceden de las distintas ramas del saber en todo el mundo. No obstante, todos tienen en común algo esencial: la pasión por apoyar el cambio, mejorar el mundo y convertir Internet en un lugar más seguro.

Sé que todo esto suena a palabras biensonantes pero créeme, es verdad. Te resultará difícil encontrar un grupo de personas más resueltas a hacer lo correcto para Internet. Esta fuerza impulsora en Spamhaus requiere un comportamiento ético.

Por eso, con nuestra experiencia, cultura e independencia (no respondemos ante ningún accionista), entenderás por qué las organizaciones de todo el mundo nos confían estos datos.

Entonces, ¿qué hacen los investigadores con todos estos datos?

Crear listas sin ningún prejuicio

Lo primero, es preciso señalar que los investigadores y analistas del Spamhaus Project deben seguir políticas bien definidas. Los sesgos y opiniones no desempeñan ningún papel en la elaboración de las listas. Las políticas, es decir, los criterios relacionados con lo qué se incluye en las listas, se definen minuciosamente y se ajustan durante años en colaboración con el sector para detectar los recursos de Internet que podrían ser maliciosos. Y estas políticas funcionan: recientemente, nuestros investigadores identificaron un correo electrónico que no era legítimo, pero que se había enviado desde la infraestructura del FBI. Alguien se había introducido en sus sistemas y estaba enviando spam a numerosos contactos.

Las malas decisiones pueden motivar la inclusión en una blocklist

Evidentemente, los individuos que se afanan por jaquear la infraestructura del FBI no son lo único que provoca la inclusión en una lista. Muchas personas y organizaciones son incluidas a causa de su comportamiento ingenuo. A menudo, no es un solo problema lo que motiva la inclusión de una IP o nombre de dominio, sino varios. Por ejemplo, tu sitio web podría alojarse en una infraestructura compartida, junto con una multitud de sitios web de phishing o podrías enviar correos electrónicos a un gran número de contactos durante la primera semana después de registrar tu dominio, sin haber configurado ningún tipo de autenticación. Los problemas técnicos y de comportamiento como estos pueden motivar la inclusión en la blocklist de dominios.

¿Qué técnicas utilizamos para procesar los datos?

Se utilizan numerosos procesos para analizar y determinar la reputación de los datos, desde machine learning y heurística hasta investigaciones manuales. Cuando un recurso de Internet cumple los criterios que establece la política de inclusión, queda incluido en la lista.

Eliminar IP y dominios de una lista de Spamhaus

Está muy bien crear listas con todas estas IP y dominios. Sin embargo, ¿cómo puedo eliminar IP y dominios de estas blocklists?

Tenemos un “verificador” que permite a los usuarios buscar las direcciones IP o los dominios incluidos en las listas. El usuario puede descubrir por qué se han añadido a la lista, qué debe hacer para asegurarse de que no vuelva a suceder y, por último, solicitar su eliminación.

Cuando nuestros investigadores reciben la solicitud de eliminación, comprobarán que sea auténtica e intentarán responder a cualquier pregunta que el usuario pueda tener antes de aprobar la eliminación.

Una ayuda para las personas sin conocimientos técnicos

No hace mucho, Alex, uno de nuestros analistas de amenazas sénior, atendió esmeradamente a una persona mayor a través del verificador para solucionar los problemas que tenía para enviar correo electrónico. Entre los dos, dedicaron horas a averiguar por qué su dirección de correo se añadía continuamente a la lista. Por fin, se identificó que el problema era que el timbre de la puerta estaba enviando spam. Conoce más en “¡Cuando el malo es el timbre de la puerta!”

Un asunto muy serio

No resulta sorprendente que numerosas solicitudes de eliminación procedan de individuos poco confiables… porque no todas las personas incluidas en una blocklist son inocentes, ni mucho menos.  Algunos de nuestros investigadores han recibido amenazas de muerte, te aseguro que es cierto. Cuando impides que un cibercriminal defraude dinero, puede tomárselo muy a pecho.

¿Qué tiene todo esto que ver contigo?

Aunque quizás no hayas oído nunca hablar de Spamhaus, nuestros datos de reputación de dominio y de IP protegen actualmente a más de 3000 millones de usuarios.

Estos datos se integran en numerosas aplicaciones de software de seguridad muy conocidas.

Los proveedores de servicios de Internet y las empresas de alojamiento los utilizan para identificar comportamientos maliciosos en su red.

Los investigadores, analistas e ingenieros del Spamhaus Project son los protectores silenciosos de Internet. Cursi, pero cierto.

 

Observación para personas técnicas que lean esto: sé que me he tomado algunas libertades en la interpretación del DNS y el correo electrónico. Soy consciente de que cualquier persona con amplios conocimientos sobre este campo estará despotricando mientras lee este artículo. Te pido disculpas: he utilizado el principio KISS (¡mantenlo sencillo, estúpido!) para ayudar a las personas inexpertas a comprender a qué se dedica Spamhaus. 🙂

___________________________

[1] Direcciones IP: todos los dispositivos conectados a Internet tienen una dirección IP, incluso el timbre de la puerta. Consulta aquí los detalles técnicos: https://es.wikipedia.org/wiki/Dirección_IP

[2] Dominios: el texto vinculado con una dirección IP. Consulta aquí los detalles técnicos https://es.wikipedia.org/wiki/Dominio_de_Internet

Das könnte Sie auch interessieren

DNS Firewall Threat Feeds

Aplicados en el nivel de DNS de tu infraestructura, los feeds de amenazas evitan automáticamente que los usuarios accedan a sitios maliciosos, como sitios web de malware y de phishing.

Estos feeds de amenazas pueden incorporarse en los servidores de DNS recursivos existentes. No obstante, para los que no gestionan sus propios DNS, tenemos disponible un servicio gestionado.

  • Reduce los costos de TI
  • Configura y olvida
  • Ahorra dinero en el seguro contra riesgos

Passive DNS

Nuestro Passive DNS te permite navegar rápida y fácilmente a través miles de millones de registros de DNS para arrojar luz sobre los recursos de internet posiblemente maliciosos asociados con tu red o dominio.

  • Reduce el tiempo dedicado a la investigación
  • Enriquece las fuentes de datos
  • Protege a los clientes y usuarios finales

Data Query Service (DQS)

Data Query Service (DQS) de Spamhaus es una solución asequible y efectiva para proteger tu infraestructura de email y usuarios.

Usando tu solución actual de protección de email, podrás bloquear el spam y otras amenazas relacionadas incluidos el malware, el ransomware y los emails de phishing.

El servicio no ha fallado nunca y utiliza las DNSBL más antiguas del sector.

  • Proactivo y preventivo
  • Ahorra en infraestructura de email y costos de gestión
  • Accionable

Border Gateway Protocol

Los Feeds de Border Gateway Protocol (BGP) dotan a los usuarios y las redes con protección actualizada contra botnets y otros ataques externos.

La configuración se hace en cuestión de minutos; nuestros investigadores expertos actualizan constantemente los datos en tiempo real y los puedes utilizar en tus routers existentes con capacidad BGP.

  • Evita la exfiltración de datos
  • Protege tu red contra las botnets
  • Reduce la cantidad de máquinas infectadas en tu red

Spamhaus Intelligence API (SIA)

Esta API ofrece acceso a metadatos relacionados con las direcciones IP que muestran un comportamiento vulnerado, incluido el malware, infecciones por gusanos y troyanos, y spam que emite tráfico específico de SMTP.

La amplitud de los datos disponibles mediante una API fácilmente consumible les brinda a los desarrolladores de seguridad decenas de oportunidades.

  • Ahorra tiempo valioso investigando y presentando informes.
  • Acceso fácil y rápido
  • Información en la que puedes confiar