febrero 8, 2017
La inteligencia artificial de las humáquinas contra el spam “snowshoe”
Claro, estoy a punto de recibir mucha basura en mi correo – probablemente más que la mayoría, con mi dominio en las diapositivas, publicaciones, catálogos, y demás. Después tenemos la simplicidad de mi dirección de correo electrónico. Algunas veces nos olvidamos de las direcciones de correo “quemadas” para que atraigan los correos basura, mientras que establecemos nuevas cuentas a los empleados con ligeros cambios. Pero no podemos hacer eso con mi cuenta ¿o si? No. Porque, en primer lugar, debo guarder un registro preciso sobre quién es el enemigo y, en segunda, quiero ser capaz de monitorear personalmente la calidad de nuestra protección anti-spam, además de que nunca sobran un par de risas extra.
Como los entomólogos con sus mariposas, yo guardo todos los correos basura en una carpeta separada, revise los veredictos, y determino las tendencias y los falsos positivos, mientras que envío las muestras que pasamos por alto a nuestro laboratorio anti-spam.
Curiosamente, desde el inicio del año, la cantidad de spam se ha disparado. Y después de estudiar su estructura y estilo, ¡parece que viene de (1) fuente! Casi todos los mensajes venían en ingles (solo 2 en japonés), y, lo principal – 100% de este spam ¡fue detectado por nuestros productos! Recurrí a nuestros especialistas, y lo confirmaron: se trataba de una ola con las proporciones de un tsunami de spam – spam raqueta. Esto es algo extraño, ya que la actividad de spam disminuye alrededor de año nuevo.
* Información del 1-10 de enero
Y aquí está la información sobre cómo ha cambiado la repartición del spam en su día más activo, el 7 de enero, en los buzones de dominios corporativos:
Entonces, ¿qué es este spam y cómo nos podemos proteger de él?
El método “snowshoe” no es nuevo; lo detectamos por primera vez a principios del 2012. Pero desde ese entonces solo ha crecido y crecido, debido a que es muy fácil que los distraídos filtros de spam no ejecuten un análisis multi-nivel. Para ello se necesita ser enviado no solo por una ni por dos direcciones IP, sino por una gran cantidad de ellas, de este modo se evita el filtrado por IP basado en la reputación. A propósito, de aquí es de donde saca su nombre: el peso de una persona que usa raquetas de nieve se distribuye en toda el area y esto causa que la persona no resbale en la nueve. Bien, este mismo principio aplica a este spam, o algo así: el spam se distribuye muy bien a través de muchas direcciones IP, y esto causa que el spam no quede atrapado en ningún filtro.
Para los spammers, usar multiples direcciones de IP es más complicado, pero se consigue el resultado que quieren. Constantemente deben usar dominios generados automáticamente y proveedores (normalmente un diccionario), y clausuran hostings quemados y proxies de spam. Sí, son muchos trucos, y muy complejos, pero, como dije, para los spammers vale la pena.
Una vez que el spam llega a los recipientes, es el turno de la ingeniería social. Esto inicia con un asunto atractivo, mientras que en el cuerpo del correo hay un enlace que redirige a un sitio donde el respectivo producto es anunciado, un producto que simplemente no puedes dejar pasar, el cual tiene un precio especial hasta mañana. Curas milagrosas, descuentos en seguros que solo versa una ves en tu vida, pastilles para la impotencia, facturas de servicios, lo que sea J. Todo aunado a un asana dósis de los trucos clásicos: historias de sollozos (estoy muy enfermo y necesito dinero), finales felices (probe esta píldora de $29.99 y todos mis síntomas desaparecieron en seguida) y más.
Los enlaces te llevan a un sitio dependiendo de tu region. Por ejemplo, si un usuario viene de un lugar muy pobre, ellos simplemente lo redireccionan digamos que… a Google. Pero si un usuario es de un país desarrollado, digamos, de Europa o Norteamérica, entonces el spam saca una serie de cuentos… como la herencia medicinal del Apache o los misterios de Tesla.
Pero no solo se utilizan trucos de ingeniería social. Esta clase de spam también puede traer consigo malware…
¿Y qué hay de la protección?
Desde el punto de vista técnico, la raqueta de nieve no es un spam sofisticado, pero eso no significa que no debe tomarse en serio. Los filtros simples son incapaces de adaptarse a los multiples cambios del spam. Y no existe ninguna tecnología que sea capaz de lidiar con la raqueta de nieve de una vez por todas. Nosotros lo combatimos con protección multinivel, lidiando con el primer truco con aprendizaje automatizado. Esto es lógico, ya que atajar los altos niveles de spam manualmente sería simplemente poco realista; es mejor que los expertos usen su tiempo en algo más útil. Y eso resulta ser el crear máquinas inteligentes, las cuales se vuelven automáticas y extremadamente precisas y confiables para analizar el spam y crear algoritmos para contrarrestarles. Por ejemplo, gracias al aprendizaje automatizado, nuestros productos reconocen y bloquean automáticamente a los nuevos dominios spammets, las direcciones IP y las subredes, y el análisis de conducta basada en el contenido de varios atributos. Y ellas lo hacen todo, como ya les dije, con éxito.
De hecho, la guerra entre el bien y el mal cibernético se ha convertido en una guerra de algoritmos. Los chicos malos aprendieron como disfrazar de manera habilidosa sus ciberataques, y esto, por sí mismo, también se hace cada vez más de manera automática, resultando en ataques ejecutados con una lógica completa. Pero, por cada algoritmo, existe un contra algoritmo, uno más largo J Hoy, la efectividad depende de la flexibilidad y fiabilidad de los sistemas de aprendizaje automático creados por expertos. Y el éxito va para aquellos que son capaces de proveer una combinación de (i) las habilidades matemáticas de un hombre y (ii) la compleja infraestructura que permite que se desarrollen nuevos algoritmos. A esa combinación la llamamos “Inteligencia de Humáquinas”.