Durante el fin de semana, los piratas informáticos atacaron redes sociales federadas como Mastodon para llevar a cabo continuos ataques de spam que se organizaron en Discord y se llevaron a cabo utilizando aplicaciones de Discord. Pero Discord aún tiene que eliminar el servidor donde se facilitan los ataques y los líderes de la comunidad de Mastodon no han podido comunicarse con nadie en la empresa.
«Los ataques se coordinaron a través de Discord y el software se distribuyó a través de Discord», dijo Emelia Smith, ingeniera de software que trabaja regularmente en cuestiones de confianza y seguridad en fediverse, una red de plataformas sociales descentralizadas construidas sobre el protocolo ActivityPub. «Usaban bots que se integraban directamente con Discord, de modo que un usuario ni siquiera necesitaba configurar ningún servidor ni nada por el estilo, porque podía simplemente ejecutar este bot directamente desde Discord para llevar a cabo el ataque».
Smith intentó comunicarse con Discord a través de canales oficiales el 17 de febrero, pero aún solo recibió respuestas del formulario. Ella le dijo a TechCrunch que, si bien Discord tiene mecanismos para informar sobre usuarios o mensajes individuales, carece de una forma clara de informar sobre servidores completos.
«Hemos visto que esto les cuesta a los administradores de servidores de Mastodon, Misskey y otros cientos o miles de dólares en costos de infraestructura y denegación general de servicio», escribió Smith a Discord Trust & Safety en un correo electrónico visto por TechCrunch. «El único vínculo común parece ser este servidor de discordia».
En una declaración a TechCrunch, un portavoz de Discord dijo: «Los Términos de servicio de Discord prohíben específicamente el abuso de la plataforma, que se refiere a actividades que interrumpen o alteran la experiencia de los usuarios de Discord, incluido el spam o el envío de mensajes o interacciones masivas no solicitadas». Aunque Discord dice que está monitoreando la situación, el servidor responsable de los ataques de spam permanece en línea.
El fundador y director ejecutivo de Mastodon, Eugen Rochko, dijo en una publicación que estos ataques son más difíciles de moderar que los anteriores, porque apuntan deliberadamente a servidores más pequeños, que a menudo tienen menos herramientas de moderación. Algunos de estos servidores ofrecen registro abierto, lo que permite iniciar rápidamente nuevas cuentas y publicar spam. Y como señala Smith, estos ataques masivos de spam pueden aumentar los costos del servidor, dejando a los administradores con facturas inesperadas.
Según informes de Mastodon, este ataque totalmente automatizado fue provocado por un conflicto entre adolescentes en dos servidores Discord de idioma japonés diferentes.
«Es este tipo de comportamiento social extraño, en el que estos niños esencialmente actúan como matones en el patio de la escuela», dijo Smith a TechCrunch. Ella piensa que realizaron el ataque simplemente para demostrar que pueden, no porque tengan mala voluntad hacia estas redes sociales.
«Tienen capacidades tecnológicas que están muy por encima de sus capacidades emocionales o psicológicas», dijo.
Kevin Beaumont, un experto en ciberseguridad, publicó en Mastodon que este incidente recuerda un ataque similar, aunque mucho más grande, de 2016, en el que tres universitarios crearon una botnet para ganar dinero con Minecraft. Pero lo que construyeron fue tan poderoso que pudo destruir grandes extensiones de Internet, incluidos sitios como Reddit y Spotify.
“Tuve que hacer un programa de radio en NPR sobre eso y el presentador seguía preguntándome si era Putin, y yo dije, no, son adolescentes. Adolescentes persistentes avanzados”, publicó Beaumont.
Como red social descentralizada, el equipo de Mastodon no puede intervenir en problemas de moderación en servidores que no son de su propiedad, lo cual es una vulnerabilidad para el fediverso. En servidores que se mantienen y moderan activamente, Mastodon ofrece herramientas para evitar el registro automatizado de cuentas, como CAPTCHA.
Si bien el modelo de código abierto sin fines de lucro de Mastodon brinda a los usuarios más propiedad sobre sus experiencias en las redes sociales, también limita la capacidad de la empresa para contratar más desarrolladores. La mayor parte de la red social está dirigida por voluntarios, como la propia Smith.
“Yo estimaría que todo el fediverso se desarrolla a partir de, quizás, en el mejor de los casos, 100 ingenieros”, dijo. «Todos ellos mal pagados, mal pagados o no pagados, que están tratando de crear software y, al mismo tiempo, respaldan la base de usuarios activos mensuales en el rango de 1,1 millones a 7,4 millones».