ABUSOS EN EL CORREO ELECTRÓNICO 

Jesús Sanz de las Heras 

1. Conceptos generales. 

Definimos ACE (Abuso en Correo Electrónico) como las diversas actividades que trascienden los objetivos habituales del servicio de correo y perjudican directa o indirectamente a los usuarios. Algunos de los términos habitualmente asociados en Internet a estos tipos de abuso son spamming, mail bombing, unsolicited bulk email (UBE), unsolicited commercial email (UCE), junk mail, etc., abarcando un amplio abanico de formas de difusión. 

De los tipos de abuso englobados en ACE, el que más destaca es el conocido como spam que es un término aplicado a mensajes distribuidos a una gran cantidad de destinatarios de forma indiscriminada. En la mayoría de los casos el emisor de estos mensajes es desconocido y generalmente es imposible responderlo (reply) de la forma habitual o incluso llegar a identificar una dirección de retorno correcta. 

  • ¿ Qué tipos de abuso están tipificados ?
    • Difusión de contenido inadecuado.
Contenido ilegal por naturaleza, es decir, todo el que constituya complicidad con hechos delictivos. Ejemplos: apología del terrorismo, programas piratas, pornografía infantil, amenazas, estafas, esquemas de enriquecimiento piramidal, virus o código hostil en general... 

Contenido fuera de contexto en un foro temático o lista de distribución. 

    • Difusión a través de canales no autorizados
Uso no autorizado de una estafeta ajena para reenviar correo propio. Aunque el mensaje en sí sea legítimo, se están utilizando recursos ajenos sin su consentimiento (nada que objetar cuando se trata de una estafeta de uso público, declarada como tal). 
    • Difusión masiva no autorizada.
El uso de estafetas propias o ajenas para enviar de forma masiva publicidad o cualquier otro tipo de correo no solicitado. Se considera inadecuado por varios motivos, pero principalmente éste: el anunciante descarga en transmisores y destinatarios el coste de sus operaciones publicitarias, tanto si quieren como si no. 
    • Ataques con objeto de imposibilitar o dificultar el servicio de correo electrónico. 
Dirigido a un usuario o al propio sistema de correo. En ambos casos el ataque consiste en el envío de un número alto de mensajes por segundo, o cualquier variante, que tenga el objetivo neto de paralizar el servicio por saturación de las líneas, de la capacidad de CPU del servidor, o del espacio en disco de servidor o usuario. Suscripción indiscriminada a listas de correo. Es una versión del ataque anterior, en la que de forma automatizada se suscribe a la víctima a miles de listas de correo. Dado que en este caso los ataques no vienen de una sola dirección, sino varias, son mucho más difíciles de atajar. Se puede considerar como una inversión del concepto de difusión masiva (1->n),en el sentido de que es un ataque (n->1). 
  • ¿ Qué efectos tiene en los receptores ?.
Los usuarios afectados por el ACE lo son en dos aspectos: costes económicos y costes sociales. También se debe considerar la pérdida de tiempo que suponen, y que puede entenderse como un coste económico indirecto. 

Si se multiplica el coste de un mensaje a un receptor por los millones de mensajes distribuidos puede hacerse una idea de la magnitud económica, y del porcentaje mínimo de la misma que es asumido por el emisor. En lo que respecta a los costes sociales del ACE debe considerarse, aparte de la molestia u ofensa asociada a determinados contenidos, la inhibición del derecho a publicar la propia dirección en medios como News o Web por miedo a que sea capturada. 

  • ¿ Qué efectos tiene en los operadores ?.
Los operadores de destino y encaminamiento acarrean su parte del coste: tiempo de proceso, espacio en disco, ancho de banda, y sobre todo tiempo adicional de personal dedicado a solucionar estos problemas en situaciones de saturación. 

2. Necesidad de una Política de uso del correo electrónico

Dado el vacio legal que hay en España respecto al ACE, se hace necesario que los proveedores de este servicio definan de forma pública y oficial su postura frente al implacable problema del ACE. 

Considerando a las organizaciones de RedIRIS (Universidades y Organismos de investigación) como proveedores de servicios de correo electrónico, RedIRIS está intentando coordinar un frente común contra estos abusos. EL diseño de esta defensa está cimentada en cuatro niveles: 

  • Conciencienciación. Mientras el problema no sea considerado deámbito global que afecta a un servicio institucional no será posible poner en marcha mecanismos adecuados para evitarlo.
  • Técnico. Desarrollo de herramientas, recomendaciones técnicas de diseño del servicio de correo electrónico etc.
  • Coordinación.
  • Informativo. Es necesario informar a los usuarios y suministrarles mecanismos sencillos para canalizar las denuncias de forma activa o a través de su proveedor del servicio institucional. Este apartado es tan importante como las herramientas técnicas de prevención. En este último nivel es donde entra el documento de la "Política de una organización frente al ACE" el cual debe incluir dos anexos que deben ser aceptados o por lo menos informados a cada usuario al que se le ofrezca una dirección de correo electrónico corporativa, es decir, bajo el dominio de la organización y que son:
    • Términos y condiciones de uso del servicio de correo electrónico.
    • Informativo acerca de en qué consiste el Abuso en el Correo electrónico. 
3. Documento institucional frente al ACE. 

Los objetivos del documento intentan cubrir el vacío administrativo en el uso correcto del servicio dentro de la Comunidad RedIRIS. 

       Objetivos Generales. 

  • Asegurar que los responsables máximo de las organizaciones de la Comunidad RedIRIS y sus usuarios están informados de todas las implicaciones y problemáticas del ACE y sobre todo conocen el alcance y límites de utilizar una dirección de correo electrónico institucional a diferencia de una de dirección privada.
  • Preservar la reputacion y buen nombre de cada institución y evitar situaciones que puedan causar algún tipo de responsabilidad penal.
  • Garantizar que los servicios de correo electrónico ofrecidos por las organizaciones de la Comunidad RedIRIS son utilizados de acuerdo a unas mínimas normas éticas.
  • Si los abusos englobados en ACE llegan a ser culturalmente aceptados los usuarios podrían llegar a cambiar de direcciones de correo electrónico institucionales.
       Objetivos específicos 
  • Los objetivos de este documento son institucionales pero deben de estar ligados con el documento de "Términos y condiciones de uso del correo electrónico" que debe ser por lo menos puesto en conocimiento de los usuarios de correo de la organización.
  • El objetivo de este documento no es jurídico sino un compromiso formal, público y activo ante un problema creciente que está deteriorando la utilidad de una herramienta como es el correo electrónico y que de forma indirecta genera una serie de problemas económicos.
  • Avalar, a través una política institucional activa, posibles medidas técnicas contra usuarios que hayan cometido cualquiera de las infracciones englobadas dentro de los tipos de abusos de correo electrónico. 
  • Compromiso real de una organización para luchar y perseguir, dentro de sus posibilidades, cualquier abuso local y externo incluido en la terminología del ACE.
  • Las organizaciones que creen este documento público y avalado institucionalmente, deberán ser calificadas como fiables de cara al exterior y dentro del entramado del ACE. Sería como la cara opuesta de una lista negra de organizaciones infractoras e indeseables. 
  • Imagen institucional correcta frente a denuncias externas, canalizadas a través de los buzones abuse@org.es y/o postmaster@org.es, por infracciones cometidas por usuarios o contra máquinas de la propia organización.
  • Imaginemos un usuario de una Universidad que se dedica a distribuir de forma masiva o no masiva correo electrónico publicitario por la red o en general comete cualesquiera de los tipos de ACE.
¿ En base a qué se le pueden recriminar sus actividades ?  
¿ Disponía de información de que tales prácticas no son permitidas ?  
¿ Distribución de publicidad comercial desde direcciones electrónicas de una Universidad ?  
¿ Cómo se mejoraría la reputación de una institución deterirado por actos abusivos y no permitidos ? 4. Servicio de Listas de Distribución de RedIRIS. 

RedIRIS dispone de un servicio de listas de distribución sobre múltiples temáticas acádemicas, científicas y médicas. El servicio es hospedado en las propias máquinas de RedIRIS lo que nos ha permitido disponer de mayor flexibilidad a la hora de definir una adecuada política en la protección de datos de los suscriptores de dicho servicio, así como una exhaustiva política contra ACE. 

Protección de los datos

Actualmente (Noviembre 1998) éste servicio cuanta con más de 50.000 direcciones de correo electrónico. Los datos de los suscriptores a las listas son triplemente atractivas para las voraces bases de datos. Estos datos incluyen: 

  • Nombre y apellidos
  • Dirección de correo electrónico.
  • Temática en la que está interesada dicha persona.
RedIRIS ha querido garantizar la proteccion de estos datos como un sello de calidad del servicio, a pesar de la perdida de importantes funcionalidades. Se han tomado las correspondientes acciones administrativas, a nivel del CSIC y su publicación en el BOE, para dejar constancia de que: 

Los únicos responsables de la manípulación que pudiera hacerse con los datos de los suscriptores son: 

     -Los administradores de cada una de las listas de RedIRIS 

     -El equipo técnico de RedIRIS como responsable del Servicio y donde residen fisicamente los datos. 

Hay que resaltar la plena confianza que RedIRIS deposita en los administradores de listas los cuales son igurosamente seleccionados, informados y coordinados. Por lo tanto queda claro que las únicas personas que puede visualizar los datos de los suscriptores son los administardores y el equipo técnico de RedIRIS. Además cada nuevo suscriptor recibe una nota autómatica del servidor en la que se deja claro no sólo el tema de la proteccion de sus datos, sino tambien el de los derechos de autor y el de los contenidos: 
PRIMERA: Protección de los datos personales 

Sus datos personales como suscriptor de esta lista y de cualquier otra de lista RedIRIS están protegidos y su manipulación es restringida de acuerdo a la legislación española reflejada en la LORTAD (Ley Orgánica de Tratamiento de Datos – Ley Orgánica 5/1992 del 29 Octubre).
 
SEGUNDA: Derechos de Autor. 

Los mensajes distribuidos a través de esta lista y de cualquiera otra lista de RedIRIS están sujeto a copyright y su contenido pertenece única y exclusivamente al autor o autores de los mensajes, excepto en los casos en los que se hace referencia directa a material previamente protegido por el mismo derecho de autor. 

Queda prohibida la reproducción total o parcial de cualquier mensaje electrónico difundido en las listas de distribución de RedIRIS sin el consentimiento expreso del autor del mensaje por cualquiera de las vías posibles, siendo el autor del mensaje -y no RedIRIS- el único y final responsable de la cesión del derecho de copia. 
  

Comité de Arbitraje 

Dentro del Servicio de Listas de Distribución de RedIRIS se ha estado trabajando durante el año 1998 para poner en marcha a partir de primero de 1999 una experiencia piloto, el: "Comité de Arbitraje en las listas de distribución de RedIRIS". Para ello se ha definido un Estatuto para este Comité. Se han seleccionado unas personas que llevarán el trabajo y RedIRIS les proporcionará herramientaspara su funcionamiento. Las lineas generales recogidas en el Estatuto de este Comité de Arbitraje son: 

-"El Comité de Arbitraje es un órgano colegiado compuesto por tres miembros que actuará con una sóla voz, teniendo los componentes de dicho órgano la obligación de asumir y defender como propias las resoluciones que hubiera adoptado el Comité".  

-"Los subscriptores y Administradoresde listas de distribución de RedIris podrán solicitar la intervención del Comité de Arbitraje en aquellos conflictos o discrepancias que puedan producirse en el seno de las mismas." 

     Sus funciones son: 

-"Disponer de información, evaluar y resolver cuantos conflictos o discrepancias entre subscriptores y Administradores de las listas, o entre subscriptores de las listas ocasionados por el funcionamiento de las mismas, le sean sometidas por los subscriptoreso por los Administradores".  

-"Resolver los expedientes sancionadores que le sean sometidos." 

-"Emitir informe no vinculante previo a la aprobación o modificación de las normas de funcionamientode las listas." 

-"Proponer a RedIRIS o a los Administradores de las listas modificaciones en las normas de funcionamiento con la finalidad de mejorar el funcionamiento de las mismas". 

     Respecto a los componentes de este Comité: 

-"Los miembros del Comité de Arbitraje serán nombrados por RedIRIS y actuarán con plena independencia e imparcialidad. Sólo podrán ser cesados de su cargo por renuncia, incapacidad o incumplimiento grave de sus obligaciones, requiriéndose en estos dos últimos casos informe favorable de los restantes miembros de la institución. El cargo de cada de los miembros del Comité tendrá una duración máxima de 2 años". 

 
 

 
 

Anterior
Indice
Siguiente
 

 

Seminario Complutense de Telecomunicaciones e Información
Madrid, Diciembre 1998