Los piratas informáticos atacaron redes sociales federadas como Mastodon para llevar a cabo continuos ataques de spam que se organizaron en Discord y se llevaron a cabo utilizando sus aplicaciones. Pero Discord aún tiene que eliminar los servidores federados desde donde se facilitaron los ataques y los líderes de la comunidad de Mastodon no han podido comunicarse con nadie de la empresa.
«Los ataques se coordinaron a través de Discord y el software se distribuyó a través de ellos», dijo Emelia Smith, ingeniera de software que trabaja regularmente en cuestiones de confianza y seguridad en fediverse, una red de plataformas sociales descentralizadas construidas sobre el protocolo ActivityPub. «Usaban bots que se integraban directamente con Discord, de modo que un usuario ni siquiera necesitaba configurar ningún servidor ni nada similar, porque podía simplemente ejecutar este bot directamente desde Discord para llevar a cabo el ataque».
Smith intentó comunicarse con Discord a través de canales oficiales el 17 de febrero, pero solo recibió respuestas del formulario. Comentó que, si bien Discord tiene mecanismos para informar sobre usuarios o mensajes individuales, carece de una forma clara de informar sobre servidores completos.
«Hemos visto que esto cuesta a los administradores de servidores de Mastodon, Misskey y otros cientos o miles de dólares en costes de infraestructura y denegación general de servicio», escribió Smith a Discord Trust & Safety en un correo. «El único vínculo común parece ser este servidor».
En una declaración, un portavoz de Discord dijo: «Los Términos de servicio de Discord prohíben específicamente el abuso de la plataforma, que se refiere a actividades que interrumpen o alteran la experiencia de los usuarios de Discord, incluido el spam o el envío de mensajes o interacciones masivas no solicitadas». Aunque Discord dice que está monitoreando la situación, el servidor responsable de los ataques de spam permanece activo y online.
Eugen Rochko, fundador y director ejecutivo de Mastodon transmitió en una publicación que estos ataques son más difíciles de moderar que los anteriores, porque se dirigen deliberadamente a servidores más pequeños, que a menudo cuentan con menos herramientas de moderación. Algunos de estos servidores ofrecen registro abierto, lo que permite iniciar rápidamente nuevas cuentas y publicar spam. Y como señala Smith, estos ataques masivos de spam pueden aumentar los costos del servidor, dejando a los administradores con facturas inesperadas.
De acuerdo a los informes de Mastodon, este ataque totalmente automatizado fue provocado por un conflicto entre adolescentes en dos servidores de Discord en japonés diferentes.
«Es este tipo de comportamiento social extraño, en el que estos niños esencialmente actúan como matones en el patio de la escuela», dijo Smith. Opina que realizaron el ataque simplemente para demostrar que pueden, no porque tengan mala voluntad hacia estas redes sociales.
«Tienen capacidades tecnológicas que están muy por encima de sus capacidades emocionales o psicológicas», dijo.
Kevin Beaumont, un experto en ciberseguridad, publicó en Mastodon que este incidente recuerda un ataque similar, aunque mucho más grande, de 2016, en el que tres universitarios crearon una botnet para ganar dinero con Minecraft. Pero lo que construyeron fue tan poderoso que fue capaz de acabar con grandes extensiones de Internet, incluidos sitios como Reddit y Spotify.
“Tuve que hacer un programa de radio en NPR (National Public Radio, Radio Nacional Pública de EE. UU.) sobre este asunto y el presentador seguía preguntándome si era Putin, y yo dije, no, son adolescentes. Adolescentes avanzados persistentes”, publicó Beaumont.
Como red social descentralizada, el equipo de Mastodon no puede intervenir en problemas de moderación en servidores que no son de su propiedad, lo cual es una vulnerabilidad para el fediverso. En servidores que se mantienen y moderan activamente, Mastodon ofrece herramientas para evitar el registro automatizado de cuentas, como CAPTCHA.
Si bien el modelo de código abierto sin fines de lucro de Mastodon brinda a los usuarios más propiedad sobre sus experiencias en las redes sociales, también limita la capacidad de la empresa para contratar más desarrolladores. La mayor parte de la red social está dirigida por voluntarios, como la propia Smith.
“Yo estimaría que todo el fediverso se desarrolla a partir de, quizás, en el mejor de los casos, 100 ingenieros”, dijo. «Todos ellos mal pagados o no pagados, que están tratando de crear software y, al mismo tiempo, respaldan la base de usuarios activos mensuales en el rango de 1,1 millones a 7,4 millones».
