Los tres ponentes reconocen la existencia de una nueva generación de aplicaciones tecnológicas para servidores de correo electrónico que ofrecen un alto rendimiento en la detención de spam y la aparición de una marco legislativo que permite actuar jurídicamente contra los creadores de spam. No obstante, para impedir la creación y envío de nuevos mensajes de correo electrónico no deseado de forma masiva, que, según datos aportados por Sybari Software, supera ya al millón de nuevos brotes aparecidos a diario, es necesaria la implantación de soluciones de detección, tanto en los servidores correo de las empresas que autogestionan su propio tráfico, como en los proveedores de correo electrónico que sirven a empresas y particulares cuentas en outsourcing, bien unidas a servicios de pago o gratuitas. «Los proveedores de correo electrónico deberían aumentar la seguridad de sus servidores con herramientas que impidan la emisión de spam desde las direcciones de sus usuarios, en lugar de optar por medidas dirigidas a aumentar el ancho de banda ofrecido como solución para disminuir los colapsos y retrasos en las entregas provocados por el incremento de volumen de tráfico provocado por el spam«, afirma Manel Medina del esCERT. Para el director general de este organismo de promoción de la seguridad en la red, vinculado la Universitat Politécnica de Catalunya (UPC), «La actuación desde el origen es imprescindible y sólo posible desde los servidores y no desde los ordenadores de los usuarios«.
Jacobo Crespo, Territory Manager para España y Portugal de la empresa de desarrollo de soluciones de seguridad para mensajería electrónica Sybari Software, afirma que en la actualidad existen «demasiados servidores que ofrecen cuentas de correo a particulares y empresas sin ningún tipo de protección«, lo que los convierte, según Crespo, en «auténticos open relays desde donde los spammers generan envíos masivos de correo electrónico utilizando cuentas propias o a través de mecanismos de spoofing, generados por virus troyanos, que les permiten utilizar como emisor a cualquier usuario«. El desarrollo de nuevos sistemas antispam, explica Crespo, ha creado «una la última generación de soluciones que reciben online una huella digital de cualquier nuevo brote de spam aparecido en la red y implementan barreras en los servidores para detener cualquier mensaje que coincida con las descripciones digitales almacenadas«. Esta tecnología, que reproduce los métodos utilizados por los sistemas de detección de virus, que se alimentan de una biblioteca que contiene la descripción de cualquier nuevo código maligno aparecido en Internet, permite «crear plataformas autogestionables que superan algunas trabas presentadas por anteriores soluciones basadas únicamente en listas negras, análisis de palabras del mensaje o filtros bayesianos«, añade Crespo.
Derecho a reclamar
«Paralelamente a las mejoras en la tecnología de detención de correo no deseado, se ha producido un incremento de la conciencia del legislador por ofrecer un marco jurídico a la lucha contra el spam«, explica Juan Carlos Plaza, abogado responsable área jurídica de nuevas tecnología del bufete Broseta Abogados, al referirse a la creación de normativas en países como EEUU, o la Directiva 58/2002 /CE que impulsa a los miembros de la UE a crear leyes propias que prohiban el envío de correos electrónicos comerciales a particulares y empresas con las que no exista una relación comercial previa. A juicio de Plaza, la efectividad de estas leyes requiere unos plazos de mejora que debe aportar su aplicación y la presión que puedan ejercer los mismo usuarios. «Creemos equivocadamente que el hecho de utilizar una cuenta de correo gratuita no nos da derecho a reclamar, cuando con la ley en la mano podríamos recriminar a nuestro proveedor la pérdida de un mensaje que hemos enviado a través de su servicio«, explica Juan Cralo Plaza. «La maduración y ampliación de las leyes sobre spam sumada a la presión de los usuarios debe ser el mecanismo que impulse la implantación de sistemas detección de spam como un valor añadido a la oferta de servicios de correo electrónico«, añade Plaza.
«LA GUERRA CONTRA EL SPAM: ASPECTOS LEGALES Y TECNOLÓGICOS»
La Ley General de Telecomunicaciones (LGT) que entró en vigor en España el pasado 3 de noviembre de 2003 modificó substancialmente lo establecido en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información (LSSI), respecto al envío de correos electrónicos no deseados. Esta modificación ha avivado un debate latente desde la aparición de la LSSI y otras iniciativas legislativas de alcance internacional, como la Directiva 58/2002/CE sobre comunicaciones electrónicas y privacidad, a la que deben ajustar sus legislaciones los países miembros de la UE.
La legislación es uno de los puntales de la guerra antispam, tanto en España, como en el resto de países, ante un fenómeno con indudables connotaciones transfronterizas. Pero, la acción de la ley puede no ser suficiente y debe encontrar apoyo en el desarrollo tecnológico y en una adecuada gestión del correo electrónico. La actual integración de estos tres aspectos en la empresa europea ha configurado el objeto de estudio de una encuesta promulgada por Sybari Software y en la que han participado 200 empresas de toda Europa.
Encuesta Sybari Software. Datos 2ª parte.
La segunda parte de esta encuesta cerrada a febrero de 2004 reúne datos sobre los hábitos de gestión del correo entrante y saliente en las empresas como consecuencia de la irrupción del fenómeno del spam y la aparición de leyes nacionales que tratan de combatirlo.
El 92% de las empresas encuestadas afirman que el filtrado del correo electrónico de un empleado está justificado para eliminar los virus o por motivos de seguridad.
La mayoría de los responsables de sistemas encuestados constatan la necesidad de implementar políticas de seguridad y software para llevarlas a cabo como método de para garantizar la seguridad y la continuidad de sus entornos corporativos, como demuestra el hecho que hasta un 92% considera justificado el filtrado del correo de los empleados de su empresa para detener la posible entrada de virus informáticos y hasta un 82% lo cree necesario como sistema antispam. Sólo un 2% de las empresas que responden a la encuesta no encuentran ningún motivo que justifique el filtrado de los e-mails.
La necesidad de proteger los entornos corporativos aparece como principal motivación para la implementación de sistemas y políticas de protección de los servidores de correo electrónico. Los efectos del mal funcionamiento de estos sistemas de comunicación, vitales ya para las rutinas productivas de muchas empresas, son ya valorados y cuantificados según criterios que incluyen la restauración de daños, la implantación de software, la redimensión de sistemas de almacenaje de datos y de ancho de banda y la pérdida de productividad ocasionada por las molestias derivadas de la llegada de spam a través del correo. De la valoración de gastos derivados del impacto del spam establecida por las empresas encuestadas se extrae un coste por empleado de 300 euros por año .
Los costes parecen ser la principal motivación que lleva a las empresas a actuar contra la amenaza del spam. La ley y las obligaciones que ésta establece son aún desconocidas para muchas empresas que un 82% dicen no tener ninguna notificación de sus gobiernos sobre los cambios en sus legislaciones locales con respecto al spam .
El 47% de las empresas encuestadas dicen desconocer si envían correos comerciales no solicitados
La motivación mostrada por la implementación de medidas que pueda detener el spam entrante en sus redes parece no corresponderse por la preocupación por los e-mails comerciales no solicitados que se estén emitiendo desde las empresas. Así, el 47 % de los encuestados muestra desconocimiento sobre si su empresa envía correos no solicitados y el 17% dice no haber reducido esta práctica en los últimos cinco meses, mientras que el 2% llega a reconocer que ha aumentado.
Encuesta Sybari Software. Datos 1ª parte(*)
(*) La primera parte de esta encuesta ya fue publicada por Sybari Software el pasado mes de noviembre de 2003.
Esta primera parte muestra en primer termino un hecho ya muchas veces constatado en diferentes estudios y analistas, pero de obligada comprobación inicial para el desarrollo de la encuesta, como es el aumento de recepción de correo electrónico no deseado en las empresas. Hasta un 93% de las corporaciones encuestadas han asegurado vivir un aumento del spam recibido en el último año.
Poca confianza en la efectividad de la ley
La directiva 58/2002/CE impulsa el desarrollo de leyes sobre la privacidad y las comunicaciones electrónicas, con un especial acento en la prohibición del correo electrónico no deseado, en los diferentes estados miembros de la UE. Según, la información recogida por Sybari Software sólo un 5% de las empresas encuestadas en Europa creen que la acción de la ley acabará con el spam, mientras que un 48% piensan que las leyes no provocarán ningún descenso en la cantidad de correo no deseado que se recibe en su empresa. En el espacio intermedio de estas dos opiniones se sitúa un 22% de las empresas que auguran una reducción del spam. Las posiciones escépticas hacia la acción de la ley se refuerzan con un 25% que creen que el efecto de la ley se desvanecerá a largo plazo.
Respecto a la eficacia ya no de los textos legales sino de su aplicación por parte de los gobiernos la opinión no es mucho más favorable: un 48% opina que la imposición será totalmente ineficaz y el 53% restante, que sí habla de eficacia, sólo lo hace calificándola de limitada.
Tipos de daños e inversión en tecnología
Son muchos los estudios y análisis que hasta ahora han cuantificado el valor de los daños causados por el spam en cifras económicas que aportan montantes globales de gastos. Los datos recopilados por Sybari permiten cualificar estos gastos. Los más comunes parecen estar en costes de administración de correo electrónico y los derivados de la perdida de productividad de los empleados que son reconocidos por un 72 y un 60% de las empresas encuestadas respectivamente. Otros aspectos que son advertidos por más de un 30% de los encuestados son los gastos en software, la reducción de ancho de banda y el descenso de satisfacción de los empleados.
La constatación de los daños producidos por el spam y la desconfianza en que la ley por si sola pueda acabar con este fenómeno lleva a las empresas a asumir la necesidad de invertir en tecnología para poder defenderse adecuadamente de los perjuicios que les ocasiona el correo electrónico no deseado. En esta línea, un 99% de las empresas apoyan una inversión tecnológica y un 43% defiende este hecho como muy importante para protegerse contra el spam, para poder implementar una política adecuada de uso de su correo electrónico y para cumplir con las leyes nacionales e internacionales.
Spam emitido y políticas internas
La importancia que implícitamente conceden las empresas encuestadas al cumplimiento de la ley nos sitúa en una nueva perspectiva, su preocupación por incurrir en prácticas ilegales en la emisión de correo electrónico. El incremento del uso del e-mail como integrante de las herramientas que forman parte de las rutinas productivas de las empresas encuentra uno de sus máximos exponentes en el uso que del correo electrónico se hace como vehículo o canal de comunicaciones electrónicas emitidas por la empresa y enfocadas a la oferta o venta de productos.
Esta práctica, que de no cumplir con la legislación vigente en los países de UE, puede llegar a ser considerada como spam, ha experimentado según los datos recogidos por Sybari un fuerte incremento. Las empresas encuestadas declaran que la evolución del uso que realizan del e-mail para promoción o venta de sus productos ha aumentado. Así, un 55% creen que el incremento de esta práctica es muy importante y un 21% reconocen simplemente aumento.
Sin embargo, sólo un 31% de las empresas encuestadas dicen tener redactado un documento interno de definición de spam para su empresa, de las cuales sólo la mitad lo ha puesto en práctica dándolo a conocer a sus trabajadores y departamentos. Entre el 69% restante, que reconocen no disponer de ningún documento, sólo un 41%, del total de empresas encuestas dice tener en previsión su elaboración, mientras que un 28% reconoce abiertamente no tener prevista su emisión.
La falta de esta definición marca plenamente la ausencia de protocolos de actuación de la empresa tanto para evitar la recepción de spam como para prevenir su emisión, y deja sin efecto en este campo las guías correo electrónico que definen las políticas de uso del correo electrónico y de las que un 64% de las empresas entrevistadas dicen disponer. Las políticas de uso del e-mail que se realizaron en estas empresas por diferentes motivos, entre los que destacan la prevención y blindaje de posibles responsabilidades en el uso que del correo electrónico puedan realizar los trabajadores y como un intento para maximizar la productividad, se ven también menospreciadas por la falta de un sistema de evaluación que pueda advertir sobre su seguimiento o no en los diferentes departamentos de la empresa.
Principales conclusiones de estudio europeo sobre la legislación en materia de spam elaborado por Institute for Information Law (IViR) de la Universidad de Ámsterdam
El estudio examina la ley que regula las comunicaciones comerciales no solicitadas (o spam) en la Unión Europea con un énfasis especial en la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas de 12 de julio de 2002.
El IViR concluye que en este momento el poder legislativo europeo tiene muchas posibilidades para regular el spam, pero la ley no constituye una garantía contra las comunicaciones no deseadas vía e-mail. El simple hecho de que la mayoría de spam se origine fuera de la UE restringe en gran medida la eficacia de la Directiva 2002/58/CE y de las leyes nacionales que ha impulsado. Hasta que no se adopte un verdadero enfoque internacional, la eficacia de la nueva legislación europea contra las comunicaciones no solicitadas permanecerá limitada.
Con respecto a las responsabilidades legales, el Artículo 13 de la Directiva exige a los estados miembros de la UE que prohíban la práctica de enviar mensajes electrónicos con fines de venta directa en los que se disimule o se oculte la identidad del remitente. No obstante, el estudio del IViR señala que la Directiva no introduce de manera clara el derecho de los usuarios a oponerse a sus proveedores cuando el spam no sea correctamente filtrado. Además, las empresas europeas deben ser conscientes del riesgo de las nuevas responsabilidades relacionadas con los ordenadores.
La interpretación de éstos puntos sobre la responsabilidad civil y un número de aspectos muy importantes de la Directiva se deja en manos de las leyes nacionales, los tribunales nacionales y las autoridades reguladoras nacionales y, por lo tanto, diferirá en cada país. Además del nuevo enfoque regulador del spam que pueda surgir de estas regulaciones en cada país, el estudio explica cómo los consumidores y las empresas pueden seguir utilizando otras leyes ya existentes para combatir el spam o sus consecuencias.
Recomendaciones
- • La UE debería considerar acciones adicionales para reforzar los mecanismos de la lucha contra el spam
• Es necesario incentivar la cooperación internacional
• Los gobiernos de los estados deberían promover la conciencia y la educación de los usuarios
• La tecnología juega un papel importante y se debería procurar que los usuarios tuvieran acceso y conocimiento de las soluciones
• Se deberían ofrecer directrices que ayudarán a la correcta interpretación del artículo 13 de la directiva 58/2002 CE que hace referencia al spam
• Las empresas deberían aumentar su conciencia sobre el fenómeno del spam no sólo bajo un aspectos económico sino también de responsabilidad legal
• Los ISP’s y proveedores deberían adaptar medidas más adecuadas contra el spam e informar debidamente a sus clientes
• La responsabilidad de los usuarios con respecto a la seguridad en sus ordenadores debería contemplarse en las legislaciones nacionales
• El rol del proveedor en la lucha contra el spam y los virus merece tratarse desde la UE
Para más información sobre el Ivir: http://www.ivir.nl
