Ciberamenazas y contramedidas

Spam

Se lee en aproximadamente 5 minutos

Última actualización: 2026-04-30

Qué es el spam

Spam es el término general para mensajes no deseados enviados masivamente sin consentimiento del receptor. El email es el más común, pero también ocurre en SMS, mensajes directos de redes sociales, foros y secciones de comentarios.

Aproximadamente el 45% del tráfico mundial de email es spam. Para las empresas supone desperdicio de ancho de banda y almacenamiento, pérdida de productividad, y riesgo como vía de distribución de phishing y malware.

Historia del spam - El primer spam de 1978

El primer spam registrado fue enviado el 3 de mayo de 1978 por Gary Thuerk de DEC a ~400 personas en ARPANET como publicidad de producto. Recibió fuerte rechazo pero generó algunas ventas.

El nombre "spam" proviene de un sketch de Monty Python (un restaurante donde todo el menú incluye SPAM enlatado). En los 90s, cuando las publicaciones masivas en Usenet se volvieron problemáticas, se adoptó el término por la imagen de "algo impuesto sin quererlo".

En 2003 se promulgó la ley CAN-SPAM en EE.UU. obligando a incluir opción de cancelación en emails comerciales. Sin embargo, la regulación legal sola no erradica el spam; la combinación con filtrado técnico es imprescindible.

Tecnologías de filtrado

Filtro bayesiano
Analiza estadísticamente la probabilidad de aparición de palabras en el cuerpo del email para determinar si es spam. Mejora su precisión a medida que el usuario marca correos como "no deseado".
SPF (Sender Policy Framework)
Registra en DNS las IPs autorizadas para enviar email desde un dominio. El receptor verifica si la IP de origen está en el registro SPF.
DKIM (DomainKeys Identified Mail)
El servidor emisor firma digitalmente el email; el receptor verifica con la clave pública en DNS. Detecta alteración y suplantación simultáneamente.
DMARC
Basado en resultados de SPF y DKIM, el propietario del dominio especifica la política para emails que fallan autenticación (nada/cuarentena/rechazo). Incluye función de reportes.

Desde febrero 2024, Gmail obliga a dominios que envían más de 5,000 emails/día a configurar SPF/DKIM/DMARC. La autenticación de email pasó de "recomendada" a "obligatoria".

Spambots y envío masivo

El envío masivo de spam se sustenta en spambots integrados en botnets. Los atacantes controlan remotamente miles a millones de dispositivos infectados, enviando pequeñas cantidades desde cada uno para evadir listas negras por IP.

Técnicas de evasión:

  • Rotación de IP: Cambian frecuentemente la IP de origen.
  • Cambio dinámico de plantillas: Varían automáticamente texto y diseño del email.
  • Spam en imagen: Incrustan el mensaje en imágenes para evadir filtros de texto.

Los spambots en formularios de contacto y comentarios de sitios web también son un problema serio. CAPTCHA y campos honeypot son contramedidas comunes, pero bots avanzados pueden superar CAPTCHA, por lo que se recomienda combinar con limitación de tasa.

Contramedidas prácticas

Para administradores de servidores de correo

  • Configurar SPF/DKIM/DMARC: Prevenir suplantación del propio dominio. Elevar gradualmente la política DMARC: nonequarantinereject.
  • Listas negras en tiempo real (RBL): Consultar Spamhaus, Barracuda al recibir para rechazar remitentes conocidos de spam.
  • Greylisting: Rechazar temporalmente la primera conexión y esperar reenvío. Servidores legítimos reenvían; spambots generalmente no.

Para usuarios individuales

  • Minimizar exposición del email: No publicar la dirección en texto plano en webs o redes sociales.
  • Usar la carpeta de spam: Marcar como spam mejora el aprendizaje del filtro bayesiano.
  • No hacer clic en enlaces sospechosos: Los enlaces en spam pueden llevar a sitios de phishing. Incluso "cancelar suscripción" puede confirmar al atacante que la dirección es válida.

Conceptos erróneos comunes

Si ignoro el spam no hay daño
Para servidores empresariales supone desperdicio de ancho de banda y almacenamiento. Además, entre el spam se mezclan emails de phishing y malware; un solo clic erróneo puede causar daños graves.
Hacer clic en 'cancelar suscripción' detiene el spam
En emails legítimos funciona, pero en spam malicioso, hacer clic confirma al atacante que la dirección es válida y está siendo leída. Puede resultar en más spam.
Con Gmail u Outlook no necesito preocuparme por el spam
Los filtros de servicios principales son muy precisos pero no al 100%. El spear phishing dirigido puede evadir filtros. El criterio del usuario y la configuración SPF/DKIM/DMARC a nivel organizacional siguen siendo importantes.
Compartir

Términos relacionados

Phishing Un método de ataque que suplanta la identidad de organizaciones legítimas, banco… Botnet Red de múltiples computadoras o dispositivos IoT infectados con malware, control… Malware Malware, abreviatura de software malicioso, es un término general que engloba cu… Cifrado de extremo a extremo (E2EE) Un método de cifrado donde los datos se cifran en el dispositivo del remitente y… Correo electrónico cifrado Una tecnología que cifra el texto del cuerpo del correo electrónico y los archiv… Bot Término general para programas que ejecutan tareas automáticamente sin intervenc…

Artículos relacionados

Fundamentos de seguridad del correo electrónico - Cómo protegerte del phishing Aprende a identificar correos de phishing, comprende el cifrado de correo electrónico y sigue consej… Cómo detectar phishing - Lista de verificación práctica para evitar estafas Aprende las tácticas de phishing más recientes y puntos de verificación específicos para identificar…
← Glosario