i.uve.a.ene

Porque siempre hay algo que contar

Ocultar la dirección de correo

leave a comment »

autoroute à emails...Navegando por internet (dónde, si no) vi por enésima vez como una persona, para distribuir su dirección de email en un foro, utilizaba el truco de sustituir los símbolos «@» y «.» por sus nombres —algo como manolito(arroba)servidor(punto)com— para protegerse del spam.

Como método de protección desde luego es más eficaz que escribir la dirección a pelo pero, en mi opinión, no es el método más eficaz.

La razón para ocultar una dirección de correo esta clara: el spam. Los spammers son unos señores con cuernos de cabra y cola que comandan un ejército de programillas (llamados spambots) que se dedican a recorrer las páginas de internet, de manera similar a como hacen los buscadores como Google, y analizan su contenido para obtener de ahí direcciones de correo frescas y jugosas con las que alimentar su ansia publicitaria.

La mejor solución para combatir el spam —además de usar un buen programa de correo que filtre lo que te pueda llegar— es no ir dejando tu dirección de correo por internet adelante en foros y páginas web. El problema es que, a veces, esto no es posible por lo que hay que tratar de publicar tu dirección de modo que estos programitas de los spammers no sean capaces de adivinar que eso pertenece a una dirección web.

Como la cosa va a ser un pelín larga, vayamos por partes.

Antes de empezar, habría también que indicar que la posibilidad de recibir más o menos spam depende de otros factores como, por ejemplo, el nombre de usuario que hayamos elegido. Recibe mucho más spam el usuario «javierfernandez» que el usuario «j45rt80p» ya que los spammers no sólo se dedican a recopilar direcciones válidas; una vez que conocen un servidor de correo, prueban con distintos nombres de usuarios al azar para ver si alcanzan alguno correcto.

Distinguiremos varios supuestos en los que nos podemos encontrar para analizar qué técnicas son más adecuadas para cada uno:

  • Supuesto 1. Queremos mostrar nuestra dirección de correo en nuestra página web de manera que un usuario al pulsar con el ratón sobre un enlace se le abra su programa gestor de correo con nuestra dirección en el campo «para:». Todo mascadito para que le sea fácil al visitante.
  • Supuesto 2. Queremos mostrar nuestra dirección de correo en nuestra página web para darla a conocer. No es necesario que sea un enlace.
  • Supuesto 3. Queremos que puedan contactar con nosotros desde nuestra página web no necesariamente mediante un correo electrónico.
  • Supuesto 4. Queremos dejar nuestra dirección de contacto en una página que no es nuestra (un foro, un chat, twitter y sitios así) pero en la que podemos dejar mensaje o, en algunos casos, pegar alguna imagen.

Seguro que hay más pero, como no se me ocurren, pasemos a las técnicas de ocultación.

Técnicas de ocultación

Reemplazar los simbolos por su significado tal y como explicamos anteriormente. Es decir convertir manolito@servidor.com en algo como manolito(arroba)servidor(punto)com o manolito[arroba]servidor[punto]com o manolito {arroba] servidor {punto} com, en fin, ya lo pilláis.

Esto dificulta la búsqueda a los spambots ya que las combinaciones posibles se multiplican ya que, además de los distintos separadores posibles (llaves, paréntesis, corchetes, espacios, etc), está la cosa de los distintos idiomas. De todas maneras, hacer un spambot que reconozca estas direcciones no es mucho más difícil que hacer uno que reconozca las direcciones bien escritas así que no es un método que yo recomendaría.

Como ejemplo, no hay más que buscar «(arroba)gmail.com» o «(at)gmail.com» en Google para encontrar unas cuantas direcciones de correo frescas y jugosas.

Otra desventaja de este método es que no vale para el supuesto 1, aunque sí para el resto y no necesita un gran conocimiento por parte del lector para averiguar la dirección de correo válida.

Incluir palabras que invalidan la dirección de correo pero que son fácilmente identificables por el lector como no válidas. Algo como convertir manolito@servidor.com en manolito@BORRAESTOservidor.com.

Este método es similar al anterior, también dificulta la búsqueda a los spambots, lo que ocurre es que, frecuentemente, se incluyen las palabras a borrar en mayúsculas, en negritas o entre corchetes dejando el resto sin cambiar lo cual puede dar una pista clara a los spambots de lo que hay que borrar. Utilizar algo como manolito@borraestoservidor.com no da una pista clara de lo que hay que borrar, ni para los spambots ni para los lectores “humanos” de tu web.

Al igual que el anterior, yo tampoco recomendaría este método pero, en caso de utilizarlo, es recomendable que lo que se invalide sea tanto el nombre del servidor como el nombre del usuario.

Este método tampoco vale para el supuesto 1.

Utilizar lenguaje natural para indicar la dirección web. Algo como «me podéis escribir a la cuenta “manolito” que tengo en el servidor servidor.com».

Es prácticamente imposible que un spambot sea capaz de detectar este tipo de direcciones, no así algún usuario malintencionado que pudiera leer la página pero, como contrapartida, tampoco es tan fácilmente localizable la dirección de contacto por los humanos no robóticos como otros métodos. Pero, por otra parte, ¿quién quiere ser contactado por un usuario que no es capaz de interpretar una sencilla frase?

Este método es válido para los supuestos 2, 3 y 4.

Debería añadir que este es el método que yo utilizo en este sitio web para dar a conocer mi dirección de correo y, a día de hoy, jamas me ha llegado un sólo correo con spam aunque tampoco es que tenga muchas visitas.

Utilizar una imagen en vez de un texto para mostrar la dirección de correo. En este caso, en vez de poner un texto, mostrando nuestra dirección de correo, ponemos un gráfico con nuestra dirección algo como:

manolopatatas

De esta manera la dirección es perfectamente legible pero no aparece en el código de nuestra página. Yo considero este método más seguro que los dos primeros pero, teniendo en cuenta lo que han avanzado los reconocedores de caracteres (OCR), sería posible hacer un programa que pueda extraer nuestra dirección de ese gráfico (otra cosa es que a los spammers les merece la pena hacerlo).

En caso de usarlo, para mejorar aún más la seguridad, es recomendable no utilizar para el gráfico un nombre de fichero que permita asociarlo con una dirección de correo (no llamarlo emailadress.png o algo así).

Existen algunas páginas que nos permiten crear estos ficheros fácilmente, algunas otras crean imágenes más dificiles de tratar mediante un OCR lo cual complica más las cosas a los bots aunque no quedan muy bonitas, la verdad.

Este método no vale para el supuesto 1 y, según el caso, puede no valer para el supuesto 4 (algunos foros o chats no dejan incluir imágenes) aunque se podría incluir un link a la imagen, si bien no es demasiado cómodo.

Ofuscar la dirección incluyendo códigos de caracteres en el HTML en vez de los propios caracteres. Se trata básicamente de sustituir los caracteres que conforman nuestra dirección por su correspondiente código ASCII de manera que, leyendo el HTML en crudo, no sea fácil interpretar la dirección de correo. Los navegadores, al mostrar la página interpretan correctamente estos códigos, mostrando la dirección correctamente, permitiendo incluso pulsar en el enlace para mandar un correo. Así, por ejemplo el caracter «m» sería «m», la «o» sería «o», etc.

La desventaja de este método es que se basa en que los spambots no interpretan las páginas web sino que tratan los datos en crudo. Esto puede no ser así y es posible crear spambots que interpreten la información de la página tal y como se muestra en el navegador y no basándose en los datos HTML a pelo. Como siempre, los spammers tienen que sopesar si les compensa el coste de hacer este tipo de programas contra el número de direcciones nuevas que podrían interceptar.

Con respecto a los supuestos. Este método, al contrario de los vistos hasta ahora, sí que es válido para el supuesto 1. También para el 2 y 3. El problema es que no siempre es posible incluir este tipo de código en foros o chats o, incluso peor, nos lo permite pero hace una traducción y muestra la dirección “en cristiano” con lo cual echa para abajo la ofuscación.

Existen algunas páginas que nos facilitan la ofuscación de estas direcciones.

Codificar dirección mediante javascript. Es similar al método anterior en cuanto se trata de no incluir nuestra dirección en el código HTML pero que sí aparezca al renderizar el navegador la página en pantalla. Sólo que, en vez de ocultar la dirección mediante códigos de caracteres, utilizamos el lenguaje de programación Javascript (presente en todos los navegadores modernos) de manera que nos oculta no sólo la dirección sino, a veces, incluso el programa que se utiliza para generarla.

Existen diversas rutinas en Javascript para hacer esta ocultación mediante javascript, algunas más complejas que otras. Una de las más complejas es la utilizada por Enkoder que genera un programa en javascript autoreferente para insertar en nuestra página web donde queramos mostra nuestra dirección.

Este método es complejo de detectar aunque los spammers podrían llegar a hacer (todo con su coste, claro) un bot que fuera capaz de interpretar el código Javascript y obtener estas direcciones. En mi opinión creo que el coste computacional que esto supone hace que actualmente no sea muy viable pero, en un futuro, ¿quién sabe?

Este método es apropiado para los supuestos 1, 2 y 3 siempre que los navegadores tengan Javascript activado, pero no para el supuesto 4.

Utilizar un formulario de contacto similar al que se utiliza en los blogs para dejar comentarios. De este modo, nuestra dirección web no se publica nunca. Obviamente esto no es tan cómodo para el usuario como poder enviar correos desde su propio gestor de correo.

Una desventaja de este método es que es necesario tener un programa en el servidor web que nos gestione el reenvío de los mensajes de los usuarios a nuestra cuenta de correo lo cual no siempre es posible. Si no nos es posible utilizar este tipo de programas en nuestro servidor web, también existen servicios externos que nos ofrecen la posibilidad de crearnos un formulario de contacto para insertar en nuestra web o que nos redireccionan a otro servidor.

Una gran ventaja de este método es que nunca se publica nuestra dirección de correo lo cual no sólo evita que la conozcan los bots sino también las personas normales y corrientes con malas intenciones que llegaran a nuestra página.

Eso sí, hay unos spambots especializados en este tipo de formularios de contacto por lo cual deberíamos asegurarnos de meter algún control mediante CAPTCHAs o algo similar para evitarlo.

Este método es apropiado para el supuesto 3 y podría utilizarse en el supuesto 4 incluyendo un enlace a la página con el formulario de contacto.

Hay alguna técnica más y diversas variantes sobre alguna de las ya explicadas pero tampoco se trata de hacer una novela sobre el asunto.

Como siempre, las opiniones son subjetivas y las mías más todavía así que podéis estar o no de acuerdo con lo que os cuento. La mejor recomendación que os puedo dar es que naveguéis por internet buscando la mayor información posible para formaros vuestra propia opinión y, basándoos en ella y en el sentido común, apliquéis la técnica que creáis que es la mejor.

Written by iuveaene

15.octubre.2009 (Jueves) a 19:50

Publicado en Internet, Utilidades

Tagged with , , , ,

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: