Cerca del 50% del correo basura que se genera en la red proviene de tan sólo 20 proveedores de servicios de internet (ISP, por sus siglas en inglés), según un estudio elaborado en Holanda.
La investigación, que analizó a más de 42.000 proveedores, tenía como objetivo detectar lo que denomina como "malos vecindarios" de internet, de los que sale la mayor parte del correo malicioso.
El estudio descubrió que hay proveedores especializados en amenazas concretas, como correo spam ophishing (con el que se intenta adquirir información confidencial de forma fraudulenta).
Además, da información sobre posibles métodos para frustrar ataques y predecir los objetivos de los mismos.
Así, la investigación servirá para mejorar las herramientas de seguridad informática que analizan, por ejemplo, direcciones de correo electrónico para determinar si son emisores legítimos o se trata de correo basura.
Esas herramientas serían más precisas si estuvieran provistas de información histórica sobre el tipo de tráfico que proviene de determinadas redes.
En el estudio, Giovane Cesar Moreira Moura descubrió que algunas redes pueden ser clasificadas como "malos vecindarios" porque, igual que sucede en el mundo real, son lugares en los que actividades maliciosas son más probables.
Actividad criminal
Cerca de un 50% del correo basura, las estafas de phishing y otros mensajes maliciosos provienen de 20 de los 42.201 proveedores analizados.
Muchas de esas redes estaban concentradas en India, Vietnam y Brasil.
En la red con más actividad criminal -Spectranet, en Nigeria- se comprobó que el 62% de las direcciones enviaron correo spam.
Las redes involucradas en actividades maliciosas también tienden a especializarse en un tipo particular de mensaje o ataque malicioso.
Por ejemplo, la mayoría de los ataques phishing provienen de un ISP basada en EE.UU.
Mientras, los proveedores que envían correo spam tienden a concentrarse en Asia, con la india BSNL a la cabeza como principal fuente.
Herramientas de análisis
Según Moreira Moura, sólo el tráfico malicioso proveniente de una sola red no reveló su fuente de origen.
Ello podría deberse a que muchos cibercriminales redirigen el correo spam y otro tráfico a través de comptadoras "secuestradas" o de redes corporativas pirateadas que se unen a la red a través de una ISP.
La información recogida por el estudio está ayudando a crear herramientas de análisis que serán más efectivas a la hora de determinar si el tráfico proveniente de una fuente desconocida es bueno o malo.
Así, igual que la gente evita caminar por determinadas zonas de algunas ciudades que se consideran peligrosas, las herramientas de seguridad pueden filtrar el tráfico de proveedores que se sabe que históricamente han sido fuente de mensajes maliciosos.
"Si los ingenieros de seguridad quieren reducir la incidencia de los ataques en la red, deben empezar fijándose en las redes en las que los ataques se producen de manera más frecuente", concluye el estudio./BBCMUNDO