Un ataque de spam que afectó al rival de código abierto X, Mastodon, Misskey y otras aplicaciones, pone de relieve cómo la web social descentralizada, también conocida como Fediverse, está abierta a abusos. En los últimos días, los atacantes se han dirigido a servidores Mastodon más pequeños, aprovechando los registros abiertos para automatizar la creación de cuentas de spam. Eugen Rochko, fundador y director ejecutivo de Mastodon confirmó el ataque en una publicación durante el fin de semana, agregando que los administradores del servidor Mastodon deberían cambiar el registro al modo de aprobación y bloquear los proveedores de correo electrónico de eliminación para ayudar a combatir el problema.
Si bien este no es el primer ataque de spam que afecta a Fediverse, Rochko señala que sólo los servidores más grandes como Mastodon.social había sido atacado anteriormente. Como ese servidor está dirigido por el propio equipo de Mastodon, ellos mismos han podido mitigar esos ataques. Lo que es diferente esta vez es que los spammers se dirigieron a servidores más pequeños e incluso abandonados que ofrecían registro abierto, lo que permitió a los malos actores crear cuentas rápidamente y generar spam.
Créditos de imagen: Eugen Rochko sobre Mastodonte
Este ataque en particular, que fue completamente automatizado cuando los atacantes descubrieron que podían crear scripts de spam, fue causado por una disputa entre facciones en Discord, donde un lado intentaba prohibir el servidor Discord del otro lado, según informes de Mastodon. Muchos de los otros objetivos de los spammers no estaban solos Mastodon: también apuntaban a Misskey. (Misskey es una plataforma de blogs descentralizada de código abierto que utiliza el protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube y otros, lo que permite a sus usuarios interactuar con aquellos en otras plataformas sociales federadas).
El ataque de spam destacó una de las debilidades derivadas de la estructura del Fediverso. Mastodon es un software de código abierto que cualquiera puede instalar en su propio servidor, esencialmente estableciendo su propia instancia o nodo, que se conecta con otros servidores de redes sociales federados, impulsados por el protocolo ActivityPub.
Debido a que los servidores más pequeños de Mastodon son a menudo proyectos de aficionados dirigidos por entusiastas, eran vulnerables a este tipo de ataque. Si los administradores del servidor no prestaban atención a sus servidores a diario y ofrecían registros abiertos, probablemente eran víctimas del spam.
O como administrador de un servidor, @Chris@mastodon.cosmicnation.co comentó: “A algunos administradores de instancias se les recordó que tenían una instancia. Y también aprendimos que hay MUCHAS instancias abandonadas con la puerta abierta para registrarse sin aprobación”.
Durante los últimos días, el servidor administradores Trabajaron juntos a crear listas continuas de instancias abandonadas que otros administradores podrían usar como base para una lista de bloqueo para proteger a sus propios usuarios de los ataques de spam. Muchos servidores simplemente se cerraron porque sus administradores decidieron que sería más fácil esperar a que pasara el ataque o abandonar Mastodon por completo.
La popular aplicación de terceros Mastodon Ivory, de Tapbots, lanzó una actualización de emergencia que incluía un filtro personalizado denominado “Spam potencial” en su pestaña Filtro que permitiría a los usuarios silenciar las menciones de spam. Los usuarios afectados podían activar este filtro para detectar la mayor parte del spam, pero no podían detener las notificaciones push de spam, dijo la compañía.
El ataque parece estar amainando a partir de esta mañana. El tecnólogo e investigador Tim Chambers (@tchambers@indieweb.social) señaló que hoy era el primer día en cuatro días en que tenía menos de 40 cuentas de spam para suspender en el servidor que administra, por ejemplo.
Mientras que algunos vieron la experiencia como positiva para la red social y el Fediverse en general, ya que reveló una debilidad que ahora podía discutirse y abordarse, otros estaban enojados por la experiencia y la falta de respuesta de Rochko en las primeras horas del ataque.
“Esto está arruinando mi experiencia con Mastodon. Me dan ganas de alejarme y rendirme”, escribió un administrador del servidor Mastodon. sam@urbanistas.social. “Y el continuo silencio de Eugen sobre el problema no ayuda con eso”, dijeron.
Se le pidió a Mastodon que hiciera comentarios, pero no los proporcionó de inmediato.
Desde la llegada de Instagram Threads, otro competidor de Twitter/X que también planea federarse mediante ActivityPub, el uso de Mastodon ha tenido una tendencia a la baja.
En octubre del año pasado, Mastodon había crecido hasta incluir alrededor de 1,8 millones de usuarios activos mensuales. Cuando Threads se lanzó públicamente, se había reducido a 1,5 millones. A partir del lanzamiento público de Bluesky este mes, otra red social descentralizada basada en un protocolo diferente (lo que significa que no es parte del mismo Fediverse, al menos hasta que se construya un puente), el uso de Mastodon había abandonó a 1 millón de usuarios activos mensuales. Ahí es donde continúa el uso de Mastodon en la actualidad, según la página de inicio de la compañía. El Fediverse más amplio, que incluye Mastodon y otras aplicaciones, tiene alrededor 2,9 millones de usuarios activos mensuales. La entrada de Threads en este espacio eclipsará a otros servidores Mastodon y podría aportar la experiencia técnica de Meta en áreas como la prevención de spam, pero a muchos les preocupa que el objetivo final de Meta sea esencialmente hacerse cargo de Fediverse convirtiéndose en el cliente predeterminado que los usuarios eligen y usando su recursos significativos para escalar la adopción de la aplicación de Meta.