<div dir="ltr"><div><br></div><div><br></div><div>Tanto LACNIC y LACNOG deben hacer lo que saben hacer muy bien, ser un lugar para promover y debatir ideas, ser un foro para difundir este tipo de problemas y buscar soluciones.</div><div><br></div><div>Pero más no creo. Si acaso, y un poco estirando sus funciones LACNIC podría proveer algunas herramientas que ayuden a medir el SPAM.</div><div><br></div><div>No creo que LACNIC deba proveer un RBL. Al menos como esta constituido al día de hoy.<br></div><div><br></div><div>Slds</div><div>as</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">2014-10-31 16:49 GMT-03:00 JORDI PALET MARTINEZ <span dir="ltr"><<a href="mailto:jordi.palet@consulintel.es" target="_blank">jordi.palet@consulintel.es</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Por resumir, estoy deacuerdo contigo en la importancia de la solucion<br>
tecnica, pero apoyada en la legalidad y en el soporte y respuesta no solo<br>
tecnica sino tambien legal. Se necesita la colaboracion de ambos ámbitos,<br>
y para ello tambien hay que formar y concienciar a las autoridades,<br>
precisamente para evitar fallos como los de la legislacion de Chile y<br>
ayudar a corregirlos.<br>
<br>
LACNIC puede ofrecer el servicio de RBL, apoyado en un automatismo de<br>
denuncia. Ese mecanimso de denuncia debe basarse en la definicion de SPAM<br>
de la comunidad, que hasta donde yo se, los tecnicos aceptamos<br>
generalmente como definicion de SPAM ³cualquier correo recibido sin<br>
consentimiento previo². Esta definicion coincide con la legislacion de<br>
muchos, por no decir muchisimos pasises en sus leyes de proteccion de<br>
datos personales. Da igual que ese correo este publicado, porque si<br>
colaboras en publico lo estara seguro, pero ello no permite que se te<br>
envie un correo sin autorizacion, y menos que sea reincidente, y mucho<br>
menos que no puedas evitarlo, etc., insisto, es lo que se llama proteccion<br>
de datos personales que implica tambien las normas de recopilacion y<br>
tratamiento de dichos datos, y se aplica igual a un correo electronico que<br>
a un numero de telefono, que a la direccion postal (y probablemente hay<br>
otros ejemplos).<br>
<br>
Si no estamos de acuerdo en que eso es SPAM, es un punto de partida a<br>
revisar, pero dudo que haya discrepancia en eso, pero igual me equivoco.<br>
<br>
En cambio si estamos de acuerdo, entonces, es facil clasificar<br>
³tecnicamente², incluso de forma ³casi² automatizada lo que es SPAM y lo<br>
que no.<br>
<br>
Y dado que el RBL puede ofrecer ³multiples² listas, cada usuario que desea<br>
usar el RBL puede elegir ³que² nivel de ³criticidad² quiere aplicar. Yo<br>
elegiria como ³spammer² a cualquiera que envia SPAM, aunque solo se<br>
reporte un caso, porque mi experiencia es que casi nunca se denuncia.<br>
<br>
Si hacemos una encuesta, cuantos de la lista han recibido SPAM, un calculo<br>
aproximado de cuantos por dia, de media, y cuandos han denunciado ? Creo<br>
que eso seria suficientemente explicito, y eso que somos ³tenicos². Casi<br>
nadie denuncia, y por eso el SPAM crece. Por ello hay que facilitar al<br>
usuario la denuncia de forma facil y al administador de correo que pueda<br>
repudiar a quien ha enviado spam aunque solo haya sido denunciado por un<br>
usuario.<br>
<br>
Obviamente hay que permitir un procedimiento de ³salida² de la lista de<br>
repudio, y un sistema de puntuacion que cuando un spamemr logra salir una<br>
vez, si se ve que repite el spam, cada vez le sea mas dificil salir, creo<br>
que eso no hace falta explicarlo demasiado, pero eso permite que si un<br>
servidor compartido es utilizado para hacer spam una vez, y el ISP que lo<br>
gestiona o aloja lo resuelve, no quede marcado por vida, es mas el<br>
³premio² a ese ISP depende de cuan veloz sea en resolver el problema. De<br>
hecho si responde en menos de ³x² horas, ni siquiera entra en la lista RBL.<br>
<br>
Insisto en que la legislacion que protege es la del país de destino del<br>
SPAM (no desde donde se lee el correo, sino donde esta la IP del servidor<br>
de correo destino). No hace falta repetir el ejemplo de un crimen<br>
organizado por un ciudadano de un país, ejemplo Ecuador, en España. El<br>
organizador del crimen, aunque no sea el autor material, es complice y<br>
puede ser perseguido según la ley de España.<br>
<br>
Afortunadamente, eso simplifica mucho el tratamiento del SPAM y es la<br>
única forma de proteger al consumidor de los países con legislaciones<br>
correctas, porque aun cuando Chile tenga una legislacion incorrecta, dado<br>
que el ³ataque² o ³Spam² o llamalo como quieras, se produce a un servidor<br>
ubicado en España quien me protege es la legislacion Española. Eso no<br>
quiere decir que tambien la legislacion Chilena podria tomar cartas en el<br>
asunto, e incluso agregar una nueva multa o pena al asunto, pero el<br>
consumidor esta protegico por la ley donde esta el servidor que libremente<br>
elige utilizar.<br>
<br>
Para que nadie tenga dudas en adelante, pongo nombres de países como meros<br>
ejemplos, es una forma de hablar y de simplificar los ejemplos, mas facil<br>
que decir ³x² ³y² ³z². Si se prefiere que ponga a ³España² como el emisor<br>
del spam, no tengo problema. Me baso en mi propia experiencia y en el<br>
ejemplo de la regulacion de Chile, que posiblemente en Europa tambien haya<br>
otras que puedan ser iguales o incluso peores o inexistentes.<br>
<span class=""><br>
Saludos,<br>
Jordi<br>
<br>
<br>
<br>
<br>
<br>
<br>
-----Mensaje original-----<br>
De: Octavio Alvarez <<a href="mailto:alvarezp@alvarezp.ods.org">alvarezp@alvarezp.ods.org</a>><br>
Responder a: <<a href="mailto:alvarezp@alvarezp.ods.org">alvarezp@alvarezp.ods.org</a>><br>
</span>Fecha: viernes, 31 de octubre de 2014, 18:43<br>
<span class="im HOEnZb">Para: Jordi Palet Martinez <<a href="mailto:jordi.palet@consulintel.es">jordi.palet@consulintel.es</a>>, Latin America and<br>
Caribbean Region Network Operators Group <<a href="mailto:lacnog@lacnic.net">lacnog@lacnic.net</a>><br>
Asunto: Re: [lacnog] debe LACNIC implicarse en la lucha contra el SPAM ?<br>
<br>
</span><div class="HOEnZb"><div class="h5">>On 10/30/2014 02:24 AM, JORDI PALET MARTINEZ wrote:<br>
>>> No necesariamente. ¿Cómo sabemos si las agencias de mercadotecnia<br>
>>> están conscientes de esto, que para nosotros es obvio? Además, si<br>
>>> la ley del correspondiente país no exige explícitamente seguir la<br>
>>> práctica de la confirmación de e-mail, no hay nada que hacer<br>
>>> legalmente.<br>
>><br>
>> El desconocimiento de la ley no exime de su cumplimiento, y creo que<br>
>> eso es igual para todos los países del mundo!<br>
><br>
>Pero determinar quién cumple y quién no según las leyes de cada país<br>
>está fuera de las facultades (y más aún, de los alcances) de LACNIC,<br>
>RIPE, ARIN, etc.<br>
><br>
>> Pero ademas te aseguro que estas empresas SABEN perfectamente que el<br>
>> SPAM es ilegal.<br>
><br>
>Depende de si tu definición de Spam. No todos los tipos de Spam son<br>
>ilegales en todos lados.<br>
><br>
>> Si tu envias SPAM a cuentas alojadas en España, DEBES conocer la ley<br>
>> Española, y si no la conoces, es tu problema, eres culpable por<br>
>> ello.<br>
><br>
>Te diría que estoy de acuerdo, pero no conozco suficiente sobre leyes y<br>
>los abogados son buenísimos para encontrarle recobecos a las leyes. Por<br>
>eso no le corresponde a ningún RIR juzgar eso. Debe seguirse por vías<br>
>legales.<br>
><br>
>A los RIRs les toca buscar soluciones técnicas; es decir, en lugar de<br>
>buscar cómo sancionar, a los RIRs les toca buscar *evitar* que suceda<br>
>por vías técnicas y/o hacerlo manejable y controlable.<br>
><br>
>Actualmente, una vez que una cuenta de e-mail queda "comprometida", ya<br>
>valió. No hay forma de filtrar el spam. Eso es un enfoque "todo o nada"<br>
>y bastante deficiente.<br>
><br>
>> Insisto, el país donde estan alojados los servidores que reciben el<br>
>> SPAM. Si en Brasil no hay penalizacion por el SPAM, pero si en<br>
>> España, y se envia SPAM desde Brasil a España, el delito se esta<br>
>> cometiendo tambien en España.<br>
>><br>
>> Es posible que si Brasil tambien tiene reglamentacion, al respecto,<br>
>> tambien se este cometiendo delito en Brasil.<br>
><br>
>Y volvemos a la definición de Spam de Brasil y en España, no a la<br>
>tuya... y que LACNIC no es una corte de justicia.<br>
><br>
>> Recuerda el ejemplo del coche. Tu que conduces fuera de tu país eres<br>
>> quien debe de conocer eso. Cada país tiene derecho a sus propias<br>
>> leyes, y como he dicho en algun momento, afortunadamente, suelen ser<br>
>> bastante coincidentes, y mas en estos temas.<br>
><br>
>"Bastante" no es suficiente para las PC; sólo hacen complejas las cosas.<br>
><br>
>Además, es muy diferente cuando estás personalmente ubicado en otro país<br>
>que cuando estás en el propio.<br>
><br>
>>> No, porque entonces esa RBL sería un "punto simple de falla" (SPoF)<br>
>>> en la lucha contra Spam. Si hay sólo una RBL, entonces los<br>
>>> "astutos" podrían simplemente darle un manejo especial a la RBL y<br>
>>> arrojar resultados falsos.<br>
>><br>
>> Eso se puede remediar con los procedimientos, con copias de las RBL<br>
>> sincronizadas, etc., etc., y cada vez que se detectan fallos,<br>
>> logicamente se adapta el procedimiento.<br>
><br>
>No me entendiste. Para generar un RBL hay que hacer pruebas. Si hay una<br>
>sola RBL, yo, como atacante, le daría un tratamiento diferente a las IP<br>
>que correspondan con esas RBL para engañar.<br>
><br>
>Por más espejos y copias sincronizadas, todas tendrían información<br>
>incorrecta.<br>
><br>
>Por eso debe ser distribuido, para reducir el impacto del tratamiento<br>
>especial.<br>
><br>
>>> Por eso digo que debemos buscar otro tipo de soluciones; por<br>
>>> ejemplo, facilitar la automatización de las siguientes pruebas:<br>
>>><br>
>>> 1. ¿Tiene correctos sus registros DNS, SPF y demás requisitos<br>
>>> técnicos? 2. ¿Admite la suscripción de direcciones<br>
>>> <a href="mailto:nombre%2Betiqueta@dominio.com">nombre+etiqueta@dominio.com</a>? 3. ¿Funciona la liga de<br>
>>> "desuscripción"? 4. ¿La desuscripción se realiza sin toma de<br>
>>> represalia? (ok, te desuscribo de mi lista pero en represalia te<br>
>>> agrego a otra lista) 5. ¿Las lista de distribución fue compilada de<br>
>>> manera adecuada?<br>
>><br>
>> El 1 y el 2 no bastan.<br>
><br>
>No, pero ayudan a reducir el problema. El Spam es un problema complejo<br>
>que requiere varios frentes de ataque. Decir "no basta" es pensar en que<br>
>existe una solución "milagro" y que la 1 y 2 no lo son.<br>
><br>
>> El procedimiento de desuscripcion, 3, debe permitir borrar dominios<br>
>> completos, incluso MX completos. Yo he comprobado como muchos<br>
>> spammers me envian email, para ver si ³aciertan² a estas<br>
>> direcciones: <a href="mailto:Jordi@consulintel.es">Jordi@consulintel.es</a> <a href="mailto:Jordia@consulintel.es">Jordia@consulintel.es</a><br>
>> <a href="mailto:Jordib@consulintel.es">Jordib@consulintel.es</a> Etc Š imaginaros si tengo que desuscribirme de<br>
>> cada posible combinacion.<br>
><br>
>Eso va más allá del simple "correo no solicitado". Eso es también un<br>
>"ataque".<br>
><br>
>¿Ves? Primero necesitamos definiciones y para eso es necesario estudiar<br>
>el fenómeno.<br>
><br>
>> Y si no lo hago, venden esas bases de datos, y se multiplica el<br>
>> trafico que recibo (lo veo en los registros de mi servidor), porque<br>
>> ademas IGNORAN los emails devueltos !!! Es tan facil y tan barato<br>
>> enviar 1 millon o 10 millones de emails que por el momento les da<br>
>> igual !!!!<br>
><br>
>Y peor si cuentan con una botnet, pero ya estamos hablando de otra cosa.<br>
>Una cosa es cuando una entidad conocida te envía un mensaje promocional<br>
>y otra es el ejemplo que acabas de proporcionar.<br>
><br>
>> El punto 4 es muy habitual, lo hacen la mayoria de spammers, lo he<br>
>> comprobado.<br>
><br>
>¿Y si yo soy una agencia que *sí* respeto eso? ¿Cómo me voy a<br>
>diferenciar de una de menor ética? Si no me da una ventaja competitiva<br>
>me veo obligado a "rebajarme" para evitar pérdida de negocio porque<br>
>otros lo venden más barato.<br>
><br>
>Por eso debemos buscar favorecer a los que sí cumplen.<br>
><br>
>> El punto 5, solo hay una forma adecuada: Consentimiento expreso y<br>
>> previo del propietario del correo ! Eso no admite discusión. No sirve<br>
>> ³sr. Le pedimos permiso para enviarle email, si no nos contesta<br>
>> negativamente, entenderemos que nos autoriza².<br>
><br>
>Eso se según tú, pero ellos te podrían decir "en mi país es legal". Y<br>
>ya, adiós argumentos.<br>
><br>
>> Obviamente, si yo tengo una red, normalmente, cuando ofrezco<br>
>> servicios, en el contrato estoy indicando que no se pueden hacer<br>
>> ataques, spam, etc., desde mi red. Al menos hasta donde yo he visto<br>
>> los contratos de muchos operadores. Estoy seguro que en LAC se hace<br>
>> igual.<br>
><br>
>Sí, pero una cosa de "que parezca spam" y otra cosa "que sea spam". Y si<br>
>yo le cancelo el servicio a un cliente por algo que "parezca spam" pero<br>
>bajo sus leyes "no sea estrictamente spam", podría ser objeto de<br>
>cancelaciones de contrato y demandas.<br>
><br>
>Insisto, busquemos una solución técnica para hacer controlable el<br>
>problema.<br>
><br>
>Saludos.<br>
><br>
<br>
<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</div></div></blockquote></div><br></div>