[lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Vie Oct 31 17:49:21 BRST 2014


Por resumir, estoy deacuerdo contigo en la importancia de la solucion
tecnica, pero apoyada en la legalidad y en el soporte y respuesta no solo
tecnica sino tambien legal. Se necesita la colaboracion de ambos ámbitos,
y para ello tambien hay que formar y concienciar a las autoridades,
precisamente para evitar fallos como los de la legislacion de Chile y
ayudar a corregirlos.

LACNIC puede ofrecer el servicio de RBL, apoyado en un automatismo de
denuncia. Ese mecanimso de denuncia debe basarse en la definicion de SPAM
de la comunidad, que hasta donde yo se, los tecnicos aceptamos
generalmente como definicion de SPAM ³cualquier correo recibido sin
consentimiento previo². Esta definicion coincide con la legislacion de
muchos, por no decir muchisimos pasises en sus leyes de proteccion de
datos personales. Da igual que ese correo este publicado, porque si
colaboras en publico lo estara seguro, pero ello no permite que se te
envie un correo sin autorizacion, y menos que sea reincidente, y mucho
menos que no puedas evitarlo, etc., insisto, es lo que se llama proteccion
de datos personales que implica tambien las normas de recopilacion y
tratamiento de dichos datos, y se aplica igual a un correo electronico que
a un numero de telefono, que a la direccion postal (y probablemente hay
otros ejemplos).

Si no estamos de acuerdo en que eso es SPAM, es un punto de partida a
revisar, pero dudo que haya discrepancia en eso, pero igual me equivoco.

En cambio si estamos de acuerdo, entonces, es facil clasificar
³tecnicamente², incluso de forma ³casi² automatizada lo que es SPAM y lo
que no.

Y dado que el RBL puede ofrecer ³multiples² listas, cada usuario que desea
usar el RBL puede elegir ³que² nivel de ³criticidad² quiere aplicar. Yo
elegiria como ³spammer² a cualquiera que envia SPAM, aunque solo se
reporte un caso, porque mi experiencia es que casi nunca se denuncia.

Si hacemos una encuesta, cuantos de la lista han recibido SPAM, un calculo
aproximado de cuantos por dia, de media, y cuandos han denunciado ? Creo
que eso seria suficientemente explicito, y eso que somos ³tenicos². Casi
nadie denuncia, y por eso el SPAM crece. Por ello hay que facilitar al
usuario la denuncia de forma facil y al administador de correo que pueda
repudiar a quien ha enviado spam aunque solo haya sido denunciado por un
usuario.

Obviamente hay que permitir un procedimiento de ³salida² de la lista de
repudio, y un sistema de puntuacion que cuando un spamemr logra salir una
vez, si se ve que repite el spam, cada vez le sea mas dificil salir, creo
que eso no hace falta explicarlo demasiado, pero eso permite que si un
servidor compartido es utilizado para hacer spam una vez, y el ISP que lo
gestiona o aloja lo resuelve, no quede marcado por vida, es mas el
³premio² a ese ISP depende de cuan veloz sea en resolver el problema. De
hecho si responde en menos de ³x² horas, ni siquiera entra en la lista RBL.

Insisto en que la legislacion que protege es la del país de destino del
SPAM (no desde donde se lee el correo, sino donde esta la IP del servidor
de correo destino). No hace falta repetir el ejemplo de un crimen
organizado por un ciudadano de un país, ejemplo Ecuador, en España. El
organizador del crimen, aunque no sea el autor material, es complice y
puede ser perseguido según la ley de España.

Afortunadamente, eso simplifica mucho el tratamiento del SPAM y es la
única forma de proteger al consumidor de los países con legislaciones
correctas, porque aun cuando Chile tenga una legislacion incorrecta, dado
que el ³ataque² o ³Spam² o llamalo como quieras, se produce a un servidor
ubicado en España quien me protege es la legislacion Española. Eso no
quiere decir que tambien la legislacion Chilena podria tomar cartas en el
asunto, e incluso agregar una nueva multa o pena al asunto, pero el
consumidor esta protegico por la ley donde esta el servidor que libremente
elige utilizar.

Para que nadie tenga dudas en adelante, pongo nombres de países como meros
ejemplos, es una forma de hablar y de simplificar los ejemplos, mas facil
que decir ³x² ³y² ³z². Si se prefiere que ponga a ³España² como el emisor
del spam, no tengo problema. Me baso en mi propia experiencia y en el
ejemplo de la regulacion de Chile, que posiblemente en Europa tambien haya
otras que puedan ser iguales o incluso peores o inexistentes.

Saludos,
Jordi






-----Mensaje original-----
De: Octavio Alvarez <alvarezp en alvarezp.ods.org>
Responder a: <alvarezp en alvarezp.ods.org>
Fecha: viernes, 31 de octubre de 2014, 18:43
Para: Jordi Palet Martinez <jordi.palet en consulintel.es>, Latin America and
Caribbean Region Network Operators Group <lacnog en lacnic.net>
Asunto: Re: [lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?

>On 10/30/2014 02:24 AM, JORDI PALET MARTINEZ wrote:
>>> No necesariamente. ¿Cómo sabemos si las agencias de mercadotecnia
>>> están conscientes de esto, que para nosotros es obvio? Además, si
>>> la ley del correspondiente país no exige explícitamente seguir la
>>> práctica de la confirmación de e-mail, no hay nada que hacer
>>> legalmente.
>>
>> El desconocimiento de la ley no exime de su cumplimiento, y creo que
>> eso es igual para todos los países del mundo!
>
>Pero determinar quién cumple y quién no según las leyes de cada país
>está fuera de las facultades (y más aún, de los alcances) de LACNIC,
>RIPE, ARIN, etc.
>
>> Pero ademas te aseguro que estas empresas SABEN perfectamente que el
>> SPAM es ilegal.
>
>Depende de si tu definición de Spam. No todos los tipos de Spam son
>ilegales en todos lados.
>
>> Si tu envias SPAM a cuentas alojadas en España, DEBES conocer la ley
>> Española, y si no la conoces, es tu problema, eres culpable por
>> ello.
>
>Te diría que estoy de acuerdo, pero no conozco suficiente sobre leyes y
>los abogados son buenísimos para encontrarle recobecos a las leyes. Por
>eso no le corresponde a ningún RIR juzgar eso. Debe seguirse por vías
>legales.
>
>A los RIRs les toca buscar soluciones técnicas; es decir, en lugar de
>buscar cómo sancionar, a los RIRs les toca buscar *evitar* que suceda
>por vías técnicas y/o hacerlo manejable y controlable.
>
>Actualmente, una vez que una cuenta de e-mail queda "comprometida", ya
>valió. No hay forma de filtrar el spam. Eso es un enfoque "todo o nada"
>y bastante deficiente.
>
>> Insisto, el país donde estan alojados los servidores que reciben el
>> SPAM. Si en Brasil no hay penalizacion por el SPAM, pero si en
>> España, y se envia SPAM desde Brasil a España, el delito se esta
>> cometiendo tambien en España.
>>
>> Es posible que si Brasil tambien tiene reglamentacion, al respecto,
>> tambien se este cometiendo delito en Brasil.
>
>Y volvemos a la definición de Spam de Brasil y en España, no a la
>tuya... y que LACNIC no es una corte de justicia.
>
>> Recuerda el ejemplo del coche. Tu que conduces fuera de tu país eres
>> quien debe de conocer eso. Cada país tiene derecho a sus propias
>> leyes, y como he dicho en algun momento, afortunadamente, suelen ser
>> bastante coincidentes, y mas en estos temas.
>
>"Bastante" no es suficiente para las PC; sólo hacen complejas las cosas.
>
>Además, es muy diferente cuando estás personalmente ubicado en otro país
>que cuando estás en el propio.
>
>>> No, porque entonces esa RBL sería un "punto simple de falla" (SPoF)
>>> en la lucha contra Spam. Si hay sólo una RBL, entonces los
>>> "astutos" podrían simplemente darle un manejo especial a la RBL y
>>> arrojar resultados falsos.
>>
>> Eso se puede remediar con los procedimientos, con copias de las RBL
>> sincronizadas, etc., etc., y cada vez que se detectan fallos,
>> logicamente se adapta el procedimiento.
>
>No me entendiste. Para generar un RBL hay que hacer pruebas. Si hay una
>sola RBL, yo, como atacante, le daría un tratamiento diferente a las IP
>que correspondan con esas RBL para engañar.
>
>Por más espejos y copias sincronizadas, todas tendrían información
>incorrecta.
>
>Por eso debe ser distribuido, para reducir el impacto del tratamiento
>especial.
>
>>> Por eso digo que debemos buscar otro tipo de soluciones; por
>>> ejemplo, facilitar la automatización de las siguientes pruebas:
>>>
>>> 1. ¿Tiene correctos sus registros DNS, SPF y demás requisitos
>>> técnicos? 2. ¿Admite la suscripción de direcciones
>>> nombre+etiqueta en dominio.com? 3. ¿Funciona la liga de
>>> "desuscripción"? 4. ¿La desuscripción se realiza sin toma de
>>> represalia? (ok, te desuscribo de mi lista pero en represalia te
>>> agrego a otra lista) 5. ¿Las lista de distribución fue compilada de
>>> manera adecuada?
>>
>> El 1 y el 2 no bastan.
>
>No, pero ayudan a reducir el problema. El Spam es un problema complejo
>que requiere varios frentes de ataque. Decir "no basta" es pensar en que
>existe una solución "milagro" y que la 1 y 2 no lo son.
>
>> El procedimiento de desuscripcion, 3, debe permitir borrar dominios
>> completos, incluso MX completos. Yo he comprobado como muchos
>> spammers me envian email, para ver si ³aciertan² a estas
>> direcciones: Jordi en consulintel.es Jordia en consulintel.es
>> Jordib en consulintel.es Etc Š imaginaros si tengo que desuscribirme de
>> cada posible combinacion.
>
>Eso va más allá del simple "correo no solicitado". Eso es también un
>"ataque".
>
>¿Ves? Primero necesitamos definiciones y para eso es necesario estudiar
>el fenómeno.
>
>> Y si no lo hago, venden esas bases de datos, y se multiplica el
>> trafico que recibo (lo veo en los registros de mi servidor), porque
>> ademas IGNORAN los emails devueltos !!! Es tan facil y tan barato
>> enviar 1 millon o 10 millones de emails que por el momento les da
>> igual !!!!
>
>Y peor si cuentan con una botnet, pero ya estamos hablando de otra cosa.
>Una cosa es cuando una entidad conocida te envía un mensaje promocional
>y otra es el ejemplo que acabas de proporcionar.
>
>> El punto 4 es muy habitual, lo hacen la mayoria de spammers, lo he
>> comprobado.
>
>¿Y si yo soy una agencia que *sí* respeto eso? ¿Cómo me voy a
>diferenciar de una de menor ética? Si no me da una ventaja competitiva
>me veo obligado a "rebajarme" para evitar pérdida de negocio porque
>otros lo venden más barato.
>
>Por eso debemos buscar favorecer a los que sí cumplen.
>
>> El punto 5, solo hay una forma adecuada: Consentimiento expreso y
>> previo del propietario del correo ! Eso no admite discusión. No sirve
>> ³sr. Le pedimos permiso para enviarle email, si no nos contesta
>> negativamente, entenderemos que nos autoriza².
>
>Eso se según tú, pero ellos te podrían decir "en mi país es legal". Y
>ya, adiós argumentos.
>
>> Obviamente, si yo tengo una red, normalmente, cuando ofrezco
>> servicios, en el contrato estoy indicando que no se pueden hacer
>> ataques, spam, etc., desde mi red. Al menos hasta donde yo he visto
>> los contratos de muchos operadores. Estoy seguro que en LAC se hace
>> igual.
>
>Sí, pero una cosa de "que parezca spam" y otra cosa "que sea spam". Y si
>yo le cancelo el servicio a un cliente por algo que "parezca spam" pero
>bajo sus leyes "no sea estrictamente spam", podría ser objeto de
>cancelaciones de contrato y demandas.
>
>Insisto, busquemos una solución técnica para hacer controlable el
>problema.
>
>Saludos.
>






Más información sobre la lista de distribución LACNOG