Un ataque de spam que afectó al rival de X, Mastodon, Misskey y otras aplicaciones, pone de relieve cómo la web social descentralizada, también conocida como fediverso, está abierta al abuso. En los últimos días, los atacantes se han dirigido a servidores Mastodon más pequeños, aprovechando los registros abiertos para automatizar la creación de cuentas de spam. Eugen Rochko, fundador y director ejecutivo de Mastodon confirmó el ataque en una publicación durante el fin de semana, agregando que los administradores del servidor Mastodon deberían cambiar el registro al modo de aprobación y bloquear los proveedores de correo electrónico de eliminación para ayudar a combatir el problema.
Si bien este no es el primer ataque de spam que afecta al fediverso, Rochko señala que sólo los servidores más grandes como Mastodon.social había sido atacado anteriormente. Como ese servidor está dirigido por el propio equipo de Mastodon, ellos mismos han podido mitigar esos ataques. Lo que es diferente esta vez es que los spammers se dirigieron a servidores más pequeños e incluso abandonados que ofrecían registro abierto, lo que permitió a los malos actores crear cuentas rápidamente y generar spam.
Este ataque en particular, que fue completamente automatizado cuando los atacantes descubrieron que podían crear scripts de spam, fue causado por una disputa entre dos lados en Discord, donde un lado intentaba prohibir el servidor Discord del otro lado, según informes de Mastodon (más detalles aquí). Muchos de los otros objetivos de los spammers no eran solo Mastodon: también apuntaban a Misskey, una plataforma de blogs descentralizada de código abierto que utiliza el protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube y otros, lo que permite a sus usuarios interactuar con aquellos en otras plataformas sociales federadas). Como los orígenes del spam parece ser un foro japonés muchos de los objetivos también estaban en Japón.
El ataque de spam destacó una de las debilidades derivadas de la forma en que está estructurado el fediverso. Mastodon es un software de código abierto que cualquiera puede instalar en su propio servidor, esencialmente estableciendo su propia instancia o nodo, que se conecta con otros servidores de redes sociales federados, impulsados por el protocolo ActivityPub.
Debido a que los servidores más pequeños de Mastodon son a menudo proyectos de aficionados dirigidos por entusiastas, eran vulnerables a este tipo de ataque. Si los administradores del servidor no prestaban atención a sus servidores a diario y ofrecían registros abiertos, probablemente eran víctimas del spam.
O como administrador de un servidor, @Chris@mastodon.cosmicnation.co comentó: “A algunos administradores se les recordó que tenían una instancia. Y también aprendimos que hay MUCHAS instancias abandonadas con la puerta abierta para registrarse sin aprobación”.
Durante los últimos días, servidor administradores del servidor trabajaron juntos par a crear listas de instancias abandonadas que otros administradores que podrían usarse como base para una lista a bloquear para proteger a sus propios usuarios de los ataques de spam. Muchos servidores simplemente se cerraron porque sus administradores decidieron que sería más fácil esperar a que pasara el ataque o abandonar Mastodon por completo.
La popular aplicación de terceros Mastodon Ivory, de Tapbots, lanzó una actualización de emergencia que incluía un filtro personalizado denominado «Spam potencial» en su pestaña Filtro que permitiría a los usuarios silenciar las menciones de spam. Los usuarios afectados podían activar este filtro para detectar la mayor parte del spam, pero no podían detener las notificaciones push de spam, dijo la compañía.
El ataque parece estar amainando. El tecnólogo e investigador Tim Chambers (@tchambers@indieweb.social) señaló que empezaba tener menos de 40 cuentas de spam a suspender en el servidor que administra, por ejemplo. Mastodon argumenta que en servidores activos con un equipo de moderación reactiva, Mastodon tiene múltiples herramientas para evitar el registro automatizado de cuentas, incluido el modo de aprobación, CAPTCHA y varias herramientas de bloqueo, por lo que el atacante fue manejado muy rápidamente. También señaló que el ataque de spam estaba disminuyendo ya que los dos grupos de hackers aparentemente habían hecho las paces.
Mientras que algunos vieron la experiencia como algo positivo para la red social y la diversidad social en general, ya que reveló una debilidad que ahora podía discutirse y abordarse, otros estaban molestos por la experiencia y la falta de respuesta de Rochko en las primeras horas del ataque.
“Esto está arruinando mi experiencia con Mastodon. Me dan ganas de dejarlo y rendirme”, escribió un administrador del servidor Mastodon.sam@urbanistas.social. «Y el continuo silencio de Eugen sobre el problema no ayuda», dijeron.
El CTO de Mastodon, Renaud Chaput, dijo que el ataque impulsará a la empresa a mejorar su software.
“Por el momento, no existen buenas herramientas integradas para manejar este tipo de situaciones, ya que se trata de un tema complejo: ¡las redes federadas no son fáciles! – pero tenemos muchas ideas sobre cómo mejorar nuestras funciones de lucha contra el spam y el abuso”, dijo. “Se trabajará en ello durante los próximos meses. Siempre estamos trabajando para mejorar el software (la última versión introdujo soporte captcha opcional). Otra medida que tomamos hoy es cambiar la configuración de las instancias nuevas para que no estén abiertas de forma predeterminada, y agregamos un banner para recordar a los administradores que las instancias completamente abiertas deben moderarse activamente, por lo que esta debe ser una decisión cuidadosa por parte del administrador. ”, añadió Chaput.
Desde la llegada de Instagram Threads, otro competidor de Twitter/X que también planea federarse mediante ActivityPub, el uso de Mastodon ha tenido una tendencia a la baja.
En octubre del año pasado, Mastodon había crecido hasta incluir alrededor de 1,8 millones de usuarios activos mensuales. Cuando Threads se lanzó públicamente, se había reducido a 1,5 millones. A partir del lanzamiento público de Bluesky este mes, otra red social descentralizada basada en un protocolo diferente (lo que significa que no es parte del mismo fediverso, al menos hasta que se construya un puente), el uso de Mastodon había bajado a 1 millón de usuarios activos mensuales.
Ahí sigue el uso de Mastodon, según la página de inicio de la compañía. El fediverse más amplio, que incluye Mastodon y otras aplicaciones, tiene alrededor 2,9 millones de usuarios activos mensuales. La entrada de Threads en este espacio eclipsará a otros servidores de Mastodon y podría aportar la experiencia técnica de Meta en áreas como la prevención de spam, pero a muchos les preocupa que el objetivo final de Meta sea esencialmente hacerse cargo del fediverse convirtiéndose en el cliente predeterminado que los usuarios eligen y usando su recursos significativos para escalar la adopción de la aplicación de Meta.
