[lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mie Oct 29 21:57:00 BRST 2014


Te comento/resumo lo que he investigado y que es similar en muchos países,
no “orientado” al SPAM en si, sino al uso de direcciones de email, que al
fin y al cabo es el que permite el SPAM.

Una direccion de email, una direccion postal, un telefono, son “datos
personales”, y por tanto las leyes que se aplican son las de privacidad
(esto recibe diferentes “nombres” en diferentes países).

En muchos países existe incluso lo que se llama Lista Robinson. Un usuario
que no desea recibir emails o correo postal, o llamadas de telefono o SMS
en sus direcciones de email, buzon de correo postal, o telefono,
respectivaente, se incribe en la lista Robinson.

Las empresas que envian esta informacion estan obligadas a consultar la
informacion de dichas listas y NO PUEDEN, bajo multa, enviar nada a dichos
usuarios en las direcciones que han indicado.

Las leyes que protegen la privacidad, centrandonos en el uso de email
dicen, basicamente:

1) Una empresa no puede recopilar un email aun cuando este disponible de
forma publica (por ejemplo todos nuestros emails estan en los archivos de
esta lista de correo), sin autorizacion expresa del propietario de dicho
dato, salvo que haya un contrato comercial que especifique que dicho email
ha sido recopilado, para que y se use para dicha funcion SOLO.

2) Los datos personales no pueden ser transferidos a otras partes, sin
autorizacion expresa del propietario.

3) Si una empresa recopila dicho email sin esa autorizacion expresa,
incumple la ley.

4) Si ademas envia un email a quien no lo ha solicitado, vuelve a
incumplir la ley.

5) Si ese email enviado (haya sido autorizado o no), no incluye un enlace
REAL para permitir BORRAR dicho email, incumple la ley.

6) Si no se borra dicho dato, se vuelve a incumplir la ley.

7) Si se vuelve a enviar SPAM, se vuelve a incumplir la ley.

Etc …

Cada “nuevo” incumplimiento de la ley, va sumando “puntos” a la gravedad
del hecho, y por tanto incrementando la multa.

Ahora, respondiendo a lo que tu dices, entiendo la idea de la “separacion”
de poderes, pero tambien creo que la concienciacion no basta y que si
miramos las politicas, dictamos en ellas muchos detalles que tambien
podriamos argumentar lo mismo, o que estan en el limite. La separacion
real no existe.

Por la misma regla de tres, si no se paga un recurso, no se podria
“retirar” el mismo. Ademas, podriamos argumentar que igualmente, podria no
ser LACNIC quien multe, sino la comunidad, por ejemplo, los recursos de
alguien que permite el SPAM en sus IPs, igual con SBGP la propia comunicad
puede “decidir” si lo filtra o no, pero se invalida el certificado de
dicho recurso, etc., al igual que hariamos con alguien que no lo pague, o
que use un recurso que no le corresponde.

Creo que en gran medida esto se puede automatizar, basta con establecer
los procedimientos, y por tanto no supone muchos recursos.

Si la entidad que se ocupa de esto recibe una denuncia de SPAM, las
primeras “x” veces lo notifica a la entidad cuyas IPs lo enviaron. Si en
“n” horas no responden y dan de baja esa IP de ese cliente, se le
incrementa la puntuacion negativa, y al cabo de “y” casos, en “z” días se
le notifica que ha sido publicamente declarado como cooperador del spam
por la reiteracion. En paralelo, desde el SPAM numero 1, se ha notificado
de forma automaticaca a las autoridades responsables de proteccion de
datos del país correspondiente, y estas autoridades son las responsables
de actuar o dejar que su país incremente su puntuacion en el “hall of
infame”.

Etc. los estoy escribiendo sin pensarlo mucho, logicamente hay que
establecer el procedimiento y darle unas cuantas vueltas.

No creo que el SPAM influya tanto en IXPs/NAPs, quizas habria que
preguntar si tienen estadisticas al respecto, pues suelen ser correos de
pocos Kbytes, aunque sean millones y a veces incorporen imágenes o enlaces
a imágenes, que genera un trafico adicional.

Insisto en que SI que hay multas monetarias, al menos en Europa, US y
Canada, creo que en muchos otros países, y se estan ejecutando.

Saludos,
Jordi






-----Mensaje original-----
De: Tomas Lynch <tomas.lynch en gmail.com>
Responder a: <tomas.lynch en gmail.com>
Fecha: miércoles, 29 de octubre de 2014, 23:54
Para: Jordi Palet Martinez <jordi.palet en consulintel.es>, Latin America and
Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

>2014-10-29 17:45 GMT-04:00 JORDI PALET MARTINEZ
><jordi.palet en consulintel.es>:
>> Hola a todos,
>>
>> Dado que la región es uno de los mayores emisores de SPAM, me planteo si
>> LACNOG y/o LACNOG deberian implicarse de alguna forma.
>
>No. Lo explico más a abajo en mi respuesta a tus puntos.
>
>>
>> Se me ocurren varias posibilidades, algunas pueden parecer absurdas,
>>pero
>> todo depende de como se plantee:
>>
>> 1) Concienciacion a membresia, gobiernos y reguladores de la importancia
>> de luchar contra el SPAM, penalizarlo de forma grave en cada país, etc.
>
>De acuerdo en que LACNIC y LACNOG concienticen a la gente, gobiernos,
>empresas. Se podría armar un panfleto indicando porqué es malo el SPAM
>para la operación de las empresas pero esto llegaría a los ingenieros
>que operan la red que reciben día a dia denuncias de este estilo.
>Ellos ya saben de qué se trata pero las denuncias son generalmente
>desoidas por la esferas superiores. Esto último lo digo desde mi
>propia experiencia en proveedores de servicios de Internet.
>
>>
>> 2) ³multas² a los miembros que hagan o permitan SPAM de forma reiterada
>> desde sus IP. Quizas en lugar de multas ³descuentos² por no haber casos
>>de
>> SPAM.
>
>Hay que definir que es forma reiterada, hay que ver cada legislación
>nacional, no es la CEE ni EEUU y me imagino que aún en la CEE cada
>pais debe tener sus propias leyes. No va a ser bien visto que la misma
>institución que te entrega los prefijos IP sea la que te multe por
>SPAM, de inmediato saldrían a discutir cuán transparente es el
>proceso, etc.
>
>Las listas hoy existentes anti SPAM simplemente listan a los spammers
>y el que quiere las utiliza. Ninguna impone una multa monetaria.
>También existen los white list de IPs que se "portan bien".
>
>>
>> 3) ³Hall of Infame², una web en la que se publiciten los ISPs en orden
>>del
>> numero de denuncias de SPAM denunciado.
>
>¿Quién tiene los recursos para hacer esto? Servidores, administradores
>etc.
>
>>
>> 4) Sistema de denuncias tipo spamcop (email tipo spam en lacnic.net) donde
>> cualquier usuario pueda adjuntar los spams que recibo. LANIC
>>desarrollaria
>> un sistema automatizado que automaticamente envie la denuncia a los
>> contactos tipo noc y abuse, con copia a los contactos gerenciales,
>>tenicos
>> y administrativos de los miembros de LACNIC desde cuyas IP se ha enviado
>> el SPAM, recordándoles que es ilegal, esta penalizado en muchos países
>>del
>> mundo, etc.
>>
>> 5) Sistema de denuncias que permita a LACNIC enviar a las autoridades
>> competentes de cada país los spams denunciados en el punto anterior.
>
>Del punto 2 al 5 no creo que deba ser ni LACNIC ni LACNOG ni una
>institución ligada a cualquiera de las dos. No sé si algún otro RIR
>tiene un sistema como estos pero tendría que ser un tercero. División
>de poderes. Nuevamente entra en juego lo que se considera SPAM en cada
>uno de los aproximadamente 30 paises de la región.
>
>¿Alguna asociación de NAPs/IXPs cuyo tráfico se vea afectado por el
>SPAM podría hacer de spamcop? Me imagino que sería una buena elección
>ya que son terrenos instituciones independientes de otras empresas.
>Aquí existiría la amenaza de salirse del NAP/IXP pero la consecuencia
>de salir sería comenzar a pagar tráfico más caro por otro lugar.
>
>>
>> 6) Sistema de DNS-BL (black-list) de LACNIC con los datos obtenidos de
>>los
>> SPAMs denunciados, de forma que los ISPs de la región sepan que si
>> permiten SPAM desde sus IPs, sus bloques pueden ser insertados en las
>> DNS-BL durante ³x² días y por tanto pueden dañar su imagen y sus
>>clientes
>> si participan de este sucio negocio, o lo permiten en su red.
>
>Nuevamente la pregunta del punto 3. Creo que sería bueno que los
>NAPs/IXPs llevaran esto a cabo pero, y disculpa la insistencia, no
>recuerdo que haya leyes anti SPAM en todos los paises y no sé si estas
>insituciones pueden absorber los costos de mantener un sistema así.
>
>>
>> Algunas pueden o incluso deben funcionar en coordinación, ejemplo el 2,
>>3,
>> 4, 5 y 6.
>>
>> Seguramente pueden ir surgiendo muchas mas ideas. Quien apunta las
>> siguientes ?
>
>Espero haber aportado algo.
>
>>
>> También se podria ver la posibilidad de establecer colaboracion al
>> respecto con los otros RIRs, NOGs, ICANN, e ISOC para iniciativas en
>>comun.
>>
>> Que os parece ?
>>
>> Saludos,
>> Jordi
>>
>>
>>
>>
>>
>>
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>






Más información sobre la lista de distribución LACNOG