Una bomba de correo electrónico, o una bomba de correo para abreviar, es un acto de abuso malicioso de la red mediante el cual una cuenta de correo electrónico se inunda a propósito con datos o mensajes, lo que hace que la cuenta sea inaccesible. La cuenta puede estar inactiva durante horas o días, y puede provocar que el Proveedor de servicios de Internet (ISP) suspenda el servicio a la víctima del ataque. Esto se debe a que una bomba de correo puede hacer que el servidor de correo de un ISP se bloquee, afectando no solo a la víctima, sino a todos los clientes del ISP. Cuando un servidor de correo no funciona, nadie que se suscribe a ese ISP puede enviar o recibir correo electrónico a través del proveedor.
Las personas que envían bombas de correo son conocidas como lusers (perdedores) dentro de la comunidad de piratería. Se considera una forma infantil de golpear, un ataque simplista y crudo que afecta descuidadamente a muchas más personas que el objetivo (s) del perpetrador. Hay algunos métodos para enviar una bomba de correo, resumidos aquí en términos generales.
Una bomba de correo es eficaz debido a la forma en que se manejan las cuentas de correo electrónico. Las cuentas de correo electrónico residen en un servidor de correo o en computadoras con software diseñado para enviar y recibir correo. Un servidor de correo receptor ha asignado espacio para buzones de correo virtuales asignados a sus clientes. Por ejemplo, un ISP puede tener 100,000 suscriptores y 300,000 buzones de correo (muchas personas tienen más de una dirección de correo electrónico). Es fácil ver que incluso un servidor de correo relativamente pequeño como el que se muestra en el ejemplo puede manejar cientos de miles de correos electrónicos cada día.
Cuando un servidor de correo se inunda con una bomba de correo, los recursos disponibles de la computadora se consumen y el sistema se sobrecarga hasta el punto de fallar. La bomba de correo puede consistir en un solo archivo comprimido que se descomprime en un archivo muy grande lleno de datos repetitivos que abruman y cuelgan el sistema. En otros casos, un perpetrador utilizará una «botnet» (red de robots) para hacer el trabajo sucio.
Una botnet es una red de computadoras infectadas, subrepticiamente bajo el control remoto del perpetrador. El controlador de una botnet puede enviar un solo comando que llega a todas las computadoras de la botnet. Pueden ser cientos, miles o incluso más de un millón de computadoras.
Los ISP de la botnet no detectan el ataque porque cada computadora solo envía uno o dos mensajes. El resultado es que la cuenta de correo electrónico objetivo recibe una bomba de correo de potencialmente millones de correos electrónicos a la vez. Esto puede ser costoso para el ISP que recibe la bomba de correo, ya que hacer que el servidor de correo vuelva a estar en línea para recibir correo legítimo mientras bloquea los mensajes entrantes de una bomba de correo de origen botnet puede ser una tarea difícil. Este tipo de bomba de correo se conoce como ataque de denegación de servicio distribuido (DDoS).
Otro método es utilizar la dirección de correo electrónico de una de las partes para suscribir a la persona a varias listas de correo. Una lista de correo es un foro de discusión que se propaga por correo electrónico. Uno debe suscribirse a la lista para entrar en ella y darse de baja para dejar de recibir los mensajes de la lista. Todos los suscriptores reciben todos los mensajes enviados a la lista. Si la lista es popular, esto puede resultar en docenas de mensajes por día. Una bomba de correo de lista de correo ocurre cuando una víctima se suscribe automáticamente a cientos de listas de correo sin su conocimiento o permiso. Luego, la víctima debe darse de baja manualmente de cada lista o cambiar su dirección de correo electrónico y cerrar la cuenta anterior.
Una bomba de correo es un delito grave y va en contra de los Términos de servicio de todos los ISP. Una forma de protegerse contra una bomba de correo es guardar la dirección de correo electrónico de su ISP para uso privado, dándola solo a familiares y amigos de confianza. Se puede utilizar una dirección de correo electrónico gratuita basada en la web para registrarse en sitios web, participar en foros web o jugar en línea. Si se envía una bomba de correo a esta dirección, el sitio web aún tendrá que lidiar con el ataque y es posible que pierda su cuenta gratuita. Sin embargo, aún tendrá su ISP, su dirección de correo electrónico privada y podrá crear una nueva dirección gratuita en otro sitio web.