Caza y captura de un spammer (I)
Por Jacobo Tarrío
30 de mayo de 2003

Ustedes saben qué es el spam, que todos ustedes estarán a estas alturas ya hartos de él: es ese correo indeseado que llega a nuestros buzones anunciándonos negocios fraudulentos, pastillas alargadoras de apéndices y sustancias para un mayor rendimiento sexual.

Esta gente pretende, por motivos obvios, difundir su “mensaje” al mismo tiempo que oculta su identidad. En otras palabras, que todo el mundo sepa adónde llamar si quiere realizar una transacción confidencial totalmente segura, pero no sepa a quién quejarse para que le corten el acceso a Internet al spammer.

Esta maniobra se lleva a cabo utilizando diversas técnicas, como el uso de relays abiertos (servidores de correo que aceptan correo de cualquiera y lo envían a cualquier dirección), la falsificación de cabeceras (lo cual dificulta identificar el origen del mensaje), etc.

Y en la falsificación de cabeceras es donde entro yo, porque un buen día (supongo que el 12 o 13 de abril de 2003) comenzaron a llegar mensajes devueltos: “usuario no encontrado”, “buzón lleno”, etc. Al inspeccionarlos, vi que estos mensajes eran spams que alguien había enviado a direcciones de correo rusas, poniendo como dirección remitente una dirección correspondiente a uno de los dominios que poseo. Algunos de los mensajes que los spammers habían enviado eran devueltos, por distintos motivos, al supuesto remitente; o sea, a mi.

Y así, sin comerlo ni beberlo, empecé a recibir cada día docenas de mensajes devueltos.

Normalmente, cuando alguien recibe un spam y quiere quejarse al proveedor de Internet del spammer, se supone que debe mirar las cabeceras del mensaje, para ver la lista de servidores por los que pasó el mensaje; uno de estos primeros servidores sería el propio ordenador del spammer. Teniendo la dirección IP del ordenador se puede conocer el ISP; se envía un mensaje de queja a este ISP con todas las cabeceras del mensaje, éstos le cortan el acceso, y listo. Se supone, claro, porque uno recibe tantos mensajes que no tiene tiempo de hacerlo, y los proveedores de Internet reciben tantas quejas que, cuando le cortan el acceso al spammer, éste ya ha contratado otro ISP.

No era mi caso, claro. La expectativa de recibir docenas de spams diarios y, por encima, llevarse las culpas, es suficiente incentivo como para rastrear lo que haga falta. Los mensajes devueltos contienen suficiente información del spam original como para rastrearlos… suponiendo que la información esté ahí.

Yo tuve mala suerte; “mis” spammers habían utilizado un proxy abierto para enviar sus mensajes, y su dirección IP no estaba ahí.

Un proxy abierto es un servidor proxy web mal configurado, que permite que cualquier ordenador abra una conexión con cualquier otro ordenador. Los spammers utilizaban proxies abiertos para conectarse a los servidores de correo. Con este artificio, la dirección IP que quedaba registrada no era la del ordenador del spammer, sino la del proxy abierto.

Así que así estaba yo, sin poder saber quién era el culpable del spam que me atormentaba, así que decidí intentarlo de la forma difícil: durante las siguientes semanas acumulé todo el spam que recibí de ese modo, a ver si conseguía obtener alguna información útil de todo eso. Y al fin, mis esfuerzos dieron fruto…

Pero esto ya va quedando excesivamente largo, así que el resto quedará para otro día; y, además, la historia todavía no ha terminado: quizá el lunes esté todo solucionado.

Ojalá.

Otros artículos sobre “Tirando Líneas (2002-2004)”, “spam”.
Índice.
Salvo indicación en contrario, esta página y su contenido son Copyright © Jacobo Tarrío Barreiro. Todos los Derechos Reservados. Información sobre tratamiento de datos y condiciones de uso.