\n<\/p>\n
Un ataque de spam que afect\u00f3 al rival de c\u00f3digo abierto X, Mastodon, Misskey y otras aplicaciones, pone de relieve c\u00f3mo la web social descentralizada, tambi\u00e9n conocida como fediverse, est\u00e1 abierta al abuso. En los \u00faltimos d\u00edas, los atacantes se han dirigido a servidores Mastodon m\u00e1s peque\u00f1os, aprovechando los registros abiertos para automatizar la creaci\u00f3n de cuentas de spam. El fundador y director ejecutivo de Mastodon, Eugen Rochko, confirm\u00f3 el ataque en una publicaci\u00f3n durante el fin de semana y agreg\u00f3 que los administradores del servidor de Mastodon deber\u00edan cambiar el registro al modo de aprobaci\u00f3n y bloquear los proveedores de correo electr\u00f3nico de eliminaci\u00f3n para ayudar a combatir el problema.<\/p>\n
Si bien este no es el primer ataque de spam que ha impactado a Fediverse, Rochko se\u00f1ala que anteriormente solo se hab\u00edan atacado servidores m\u00e1s grandes como Mastodon.social. Como ese servidor est\u00e1 dirigido por el propio equipo de Mastodon, ellos mismos han podido mitigar esos ataques. Lo que es diferente esta vez es que los spammers se dirigieron a servidores m\u00e1s peque\u00f1os e incluso abandonados que ofrec\u00edan registro abierto, lo que permiti\u00f3 a los malos actores crear cuentas r\u00e1pidamente y generar spam.<\/p>\n
Cr\u00e9ditos de imagen:<\/strong> Eugen Rochko sobre Mastodonte<\/p>\n<\/div>\n Este ataque en particular, que fue completamente automatizado cuando los atacantes descubrieron que pod\u00edan escribir spam, fue causado por una disputa entre dos partes en Discord, donde una parte intentaba prohibir el servidor Discord de la otra parte, seg\u00fan informes de Mastodon. (M\u00e1s detalles sobre esto aqu\u00ed.) Muchos de los otros objetivos de los spammers no eran solo Mastodon: tambi\u00e9n apuntaban a Misskey. (Misskey es una plataforma de blogs descentralizada de c\u00f3digo abierto que utiliza el protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube y otros, lo que permite a sus usuarios interactuar con aquellos en otras plataformas sociales federadas). Dado que los or\u00edgenes del spam parecen ser japoneses En el foro, muchos de los objetivos tambi\u00e9n estaban en Jap\u00f3n.<\/p>\n El ataque de spam destac\u00f3 una de las debilidades derivadas de la forma en que est\u00e1 estructurado el fediverso. Mastodon es un software de c\u00f3digo abierto que cualquiera puede instalar en su propio servidor, esencialmente estableciendo su propia instancia o nodo, que se conecta con otros servidores de redes sociales federados, impulsados \u200b\u200bpor el protocolo ActivityPub.<\/p>\n Debido a que los servidores m\u00e1s peque\u00f1os de Mastodon son a menudo proyectos de aficionados dirigidos por entusiastas, eran vulnerables a este tipo de ataque. Si los administradores del servidor no prestaban atenci\u00f3n a sus servidores a diario y ofrec\u00edan registros abiertos, probablemente eran v\u00edctimas del spam.<\/p>\n O como coment\u00f3 un administrador de servidor, @Chris@mastodon.cosmicnation.co: \u201cA algunos administradores de instancias se les record\u00f3 que ten\u00edan una instancia. Y tambi\u00e9n aprendimos que hay MUCHAS instancias abandonadas con la puerta abierta para registrarse sin aprobaci\u00f3n\u201d.<\/p>\n Durante los \u00faltimos d\u00edas, los administradores del servidor trabajaron juntos para crear listas continuas de instancias abandonadas que otros administradores podr\u00edan usar como base para una lista de bloqueo para proteger a sus propios usuarios de los ataques de spam. Muchos servidores simplemente se cerraron porque sus administradores decidieron que ser\u00eda m\u00e1s f\u00e1cil esperar a que pasara el ataque o abandonar Mastodon por completo.<\/p>\n La popular aplicaci\u00f3n Mastodon de terceros, Ivory, de Tapbots, lanz\u00f3 una actualizaci\u00f3n de emergencia que inclu\u00eda un filtro personalizado denominado \u00abSpam potencial\u00bb en su pesta\u00f1a Filtro que permitir\u00eda a los usuarios silenciar las menciones de spam. Los usuarios afectados pod\u00edan activar este filtro para detectar la mayor parte del spam, pero no pod\u00edan detener las notificaciones push de spam, dijo la compa\u00f1\u00eda.<\/p>\n El ataque parece estar amainando a partir de esta ma\u00f1ana. El tecn\u00f3logo e investigador Tim Chambers (@tchambers@indieweb.social) se\u00f1al\u00f3 que hoy era el primer d\u00eda en cuatro d\u00edas en que ten\u00eda menos de 40 cuentas de spam para suspender en el servidor que administra, por ejemplo. Mastodon le dice a TechCrunch que en servidores activos con un equipo de moderaci\u00f3n reactiva, Mastodon tiene m\u00faltiples herramientas para evitar el registro automatizado de cuentas, incluido el modo de aprobaci\u00f3n, CAPTCHA y varias herramientas de bloqueo, por lo que el atacante fue manejado muy r\u00e1pidamente. Tambi\u00e9n se\u00f1al\u00f3 que el ataque de spam estaba disminuyendo ya que los dos grupos de hackers aparentemente hab\u00edan hecho las paces.<\/p>\n Mientras que algunos vieron la experiencia como algo positivo para la red social y la diversidad social en general, ya que revel\u00f3 una debilidad que ahora pod\u00eda discutirse y abordarse, otros estaban enojados por la experiencia y la falta de respuesta de Rochko en las primeras horas del ataque.<\/p>\n \u201cEsto est\u00e1 arruinando mi experiencia con Mastodon. Me dan ganas de alejarme y rendirme\u201d, escribi\u00f3 un administrador del servidor Mastodon, sam@urbanists.social. \u00abY el continuo silencio de Eugen sobre el problema no ayuda con eso\u00bb, dijeron.<\/p>\n El CTO de Mastodon, Renaud Chaput, dijo que el ataque impulsar\u00e1 a la empresa a mejorar su software.<\/p>\n \u201cPor el momento, no existen buenas herramientas integradas para manejar esto, ya que se trata de un tema complejo: \u00a1las redes federadas no son f\u00e1ciles! \u2013 pero tenemos muchas ideas sobre c\u00f3mo mejorar nuestras funciones de lucha contra el spam y el abuso\u201d, dijo. \u201cSe trabajar\u00e1 en ello durante los pr\u00f3ximos meses. Siempre estamos trabajando para mejorar el software (la \u00faltima versi\u00f3n introdujo soporte captcha opcional). Otra medida que tomamos hoy es cambiar la configuraci\u00f3n de las instancias nuevas para que no est\u00e9n abiertas de forma predeterminada, y agregamos un banner para recordar a los administradores que las instancias completamente abiertas deben moderarse activamente, por lo que esta debe ser una decisi\u00f3n cuidadosa por parte del administrador. \u201d, a\u00f1adi\u00f3 Chaput.<\/p>\n Desde la llegada de Instagram Threads, otro competidor de Twitter\/X que tambi\u00e9n planea federarse mediante ActivityPub, el uso de Mastodon ha tenido una tendencia a la baja.<\/p>\n En octubre del a\u00f1o pasado, Mastodon hab\u00eda crecido hasta incluir alrededor de 1,8 millones de usuarios activos mensuales. Cuando Threads se lanz\u00f3 p\u00fablicamente, se hab\u00eda reducido a 1,5 millones. A partir del lanzamiento p\u00fablico de Bluesky este mes, otra red social descentralizada basada en un protocolo diferente (lo que significa que no es parte del mismo fediverso, al menos hasta que se construya un puente), el uso de Mastodon se hab\u00eda reducido a 1 mill\u00f3n de usuarios activos mensuales.<\/p>\n Ah\u00ed es donde contin\u00faa el uso de Mastodon en la actualidad, seg\u00fan la p\u00e1gina de inicio de la compa\u00f1\u00eda. El fediverse m\u00e1s amplio, que incluye Mastodon y otras aplicaciones, tiene alrededor de 2,9 millones de usuarios activos mensuales. La entrada de Threads en este espacio eclipsar\u00e1 a otros servidores de Mastodon y podr\u00eda aportar la experiencia t\u00e9cnica de Meta en \u00e1reas como la prevenci\u00f3n de spam, pero a muchos les preocupa que el objetivo final de Meta sea esencialmente hacerse cargo del fediverse convirti\u00e9ndose en el cliente predeterminado que los usuarios eligen y usando su recursos significativos para escalar la adopci\u00f3n de la aplicaci\u00f3n de Meta.<\/p>\n