Un ataque de spam que afectó al rival de código abierto X, Mastodon, Misskey y otras aplicaciones, pone de relieve cómo la web social descentralizada, también conocida como fediverse, está abierta al abuso. En los últimos días, los atacantes se han dirigido a servidores Mastodon más pequeños, aprovechando los registros abiertos para automatizar la creación de cuentas de spam. El fundador y director ejecutivo de Mastodon, Eugen Rochko, confirmó el ataque en una publicación durante el fin de semana y agregó que los administradores del servidor de Mastodon deberían cambiar el registro al modo de aprobación y bloquear los proveedores de correo electrónico de eliminación para ayudar a combatir el problema.
Si bien este no es el primer ataque de spam que ha impactado a Fediverse, Rochko señala que anteriormente solo se habían atacado servidores más grandes como Mastodon.social. Como ese servidor está dirigido por el propio equipo de Mastodon, ellos mismos han podido mitigar esos ataques. Lo que es diferente esta vez es que los spammers se dirigieron a servidores más pequeños e incluso abandonados que ofrecían registro abierto, lo que permitió a los malos actores crear cuentas rápidamente y generar spam.
Créditos de imagen: Eugen Rochko sobre Mastodonte
Este ataque en particular, que fue completamente automatizado cuando los atacantes descubrieron que podían escribir spam, fue causado por una disputa entre dos partes en Discord, donde una parte intentaba prohibir el servidor Discord de la otra parte, según informes de Mastodon. (Más detalles sobre esto aquí.) Muchos de los otros objetivos de los spammers no eran solo Mastodon: también apuntaban a Misskey. (Misskey es una plataforma de blogs descentralizada de código abierto que utiliza el protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube y otros, lo que permite a sus usuarios interactuar con aquellos en otras plataformas sociales federadas). Dado que los orígenes del spam parecen ser japoneses En el foro, muchos de los objetivos también estaban en Japón.
El ataque de spam destacó una de las debilidades derivadas de la forma en que está estructurado el fediverso. Mastodon es un software de código abierto que cualquiera puede instalar en su propio servidor, esencialmente estableciendo su propia instancia o nodo, que se conecta con otros servidores de redes sociales federados, impulsados por el protocolo ActivityPub.
Debido a que los servidores más pequeños de Mastodon son a menudo proyectos de aficionados dirigidos por entusiastas, eran vulnerables a este tipo de ataque. Si los administradores del servidor no prestaban atención a sus servidores a diario y ofrecían registros abiertos, probablemente eran víctimas del spam.
O como comentó un administrador de servidor, @[email protected]: “A algunos administradores de instancias se les recordó que tenían una instancia. Y también aprendimos que hay MUCHAS instancias abandonadas con la puerta abierta para registrarse sin aprobación”.
Durante los últimos días, los administradores del servidor trabajaron juntos para crear listas continuas de instancias abandonadas que otros administradores podrían usar como base para una lista de bloqueo para proteger a sus propios usuarios de los ataques de spam. Muchos servidores simplemente se cerraron porque sus administradores decidieron que sería más fácil esperar a que pasara el ataque o abandonar Mastodon por completo.
La popular aplicación Mastodon de terceros, Ivory, de Tapbots, lanzó una actualización de emergencia que incluía un filtro personalizado denominado «Spam potencial» en su pestaña Filtro que permitiría a los usuarios silenciar las menciones de spam. Los usuarios afectados podían activar este filtro para detectar la mayor parte del spam, pero no podían detener las notificaciones push de spam, dijo la compañía.
El ataque parece estar amainando a partir de esta mañana. El tecnólogo e investigador Tim Chambers (@[email protected]) señaló que hoy era el primer día en cuatro días en que tenía menos de 40 cuentas de spam para suspender en el servidor que administra, por ejemplo. Mastodon le dice a TechCrunch que en servidores activos con un equipo de moderación reactiva, Mastodon tiene múltiples herramientas para evitar el registro automatizado de cuentas, incluido el modo de aprobación, CAPTCHA y varias herramientas de bloqueo, por lo que el atacante fue manejado muy rápidamente. También señaló que el ataque de spam estaba disminuyendo ya que los dos grupos de hackers aparentemente habían hecho las paces.
Mientras que algunos vieron la experiencia como algo positivo para la red social y la diversidad social en general, ya que reveló una debilidad que ahora podía discutirse y abordarse, otros estaban enojados por la experiencia y la falta de respuesta de Rochko en las primeras horas del ataque.
“Esto está arruinando mi experiencia con Mastodon. Me dan ganas de alejarme y rendirme”, escribió un administrador del servidor Mastodon, [email protected]. «Y el continuo silencio de Eugen sobre el problema no ayuda con eso», dijeron.
El CTO de Mastodon, Renaud Chaput, dijo que el ataque impulsará a la empresa a mejorar su software.
“Por el momento, no existen buenas herramientas integradas para manejar esto, ya que se trata de un tema complejo: ¡las redes federadas no son fáciles! – pero tenemos muchas ideas sobre cómo mejorar nuestras funciones de lucha contra el spam y el abuso”, dijo. “Se trabajará en ello durante los próximos meses. Siempre estamos trabajando para mejorar el software (la última versión introdujo soporte captcha opcional). Otra medida que tomamos hoy es cambiar la configuración de las instancias nuevas para que no estén abiertas de forma predeterminada, y agregamos un banner para recordar a los administradores que las instancias completamente abiertas deben moderarse activamente, por lo que esta debe ser una decisión cuidadosa por parte del administrador. ”, añadió Chaput.
Desde la llegada de Instagram Threads, otro competidor de Twitter/X que también planea federarse mediante ActivityPub, el uso de Mastodon ha tenido una tendencia a la baja.
En octubre del año pasado, Mastodon había crecido hasta incluir alrededor de 1,8 millones de usuarios activos mensuales. Cuando Threads se lanzó públicamente, se había reducido a 1,5 millones. A partir del lanzamiento público de Bluesky este mes, otra red social descentralizada basada en un protocolo diferente (lo que significa que no es parte del mismo fediverso, al menos hasta que se construya un puente), el uso de Mastodon se había reducido a 1 millón de usuarios activos mensuales.
Ahí es donde continúa el uso de Mastodon en la actualidad, según la página de inicio de la compañía. El fediverse más amplio, que incluye Mastodon y otras aplicaciones, tiene alrededor de 2,9 millones de usuarios activos mensuales. La entrada de Threads en este espacio eclipsará a otros servidores de Mastodon y podría aportar la experiencia técnica de Meta en áreas como la prevención de spam, pero a muchos les preocupa que el objetivo final de Meta sea esencialmente hacerse cargo del fediverse convirtiéndose en el cliente predeterminado que los usuarios eligen y usando su recursos significativos para escalar la adopción de la aplicación de Meta.
Actualizado el 20/02/24, 1:31 pm ET para agregar el comentario del CTO de Mastodon