Un ataque de spam que impactó al rival X de código abierto Mastodonte, Misskey y otras aplicaciones destacan cómo la red social descentralizada, también conocida como fediverse, está abierta a abusos. En los últimos días, los atacantes se han dirigido a servidores Mastodon más pequeños, aprovechando los registros abiertos para automatizar la creación de cuentas de spam. Eugen Rochko, fundador y director ejecutivo de Mastodon confirmó el ataque en una publicación durante el fin de semana, agregando que los administradores del servidor Mastodon deberían cambiar el registro al modo de aprobación y bloquear los proveedores de correo electrónico de eliminación para ayudar a combatir el problema.
Si bien este no es el primer ataque de spam que afecta a Fediverse, Rochko señala que sólo los servidores más grandes como Mastodon.social había sido atacado anteriormente. Como ese servidor está dirigido por el propio equipo de Mastodon, ellos mismos han podido mitigar esos ataques. Lo que es diferente esta vez es que los spammers se dirigieron a servidores más pequeños e incluso abandonados que ofrecían registro abierto, lo que permitió a los malos actores crear cuentas rápidamente y generar spam.
Este ataque en particular, que fue completamente automatizado cuando los atacantes descubrieron que podían crear scripts de spam, fue causado por una disputa entre dos lados en Discord, donde un lado intentaba prohibir el servidor Discord del otro lado, según informes de Mastodon. (Más detalles sobre eso aquí.) Muchos de los otros objetivos de los spammers no estaban solos Mastodon: también apuntaban a Misskey. (Misskey es una plataforma de blogs descentralizada de código abierto que utiliza el protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube y otros, lo que permite a sus usuarios interactuar con aquellos en otras plataformas sociales federadas). Como los orígenes del spam parece ser un foro japonésmuchos de los objetivos también estaban en Japón.
El ataque de spam destacó una de las debilidades derivadas de la forma en que está estructurado el fediverso. Mastodon es un software de código abierto que cualquiera puede instalar en su propio servidor, esencialmente estableciendo su propia instancia o nodo, que se conecta con otros servidores de redes sociales federados, impulsados por el protocolo ActivityPub.
Debido a que los servidores más pequeños de Mastodon son a menudo proyectos de aficionados dirigidos por entusiastas, eran vulnerables a este tipo de ataque. Si los administradores del servidor no prestaban atención a sus servidores a diario y ofrecían registros abiertos, probablemente eran víctimas del spam.
O como administrador de un servidor, @Chris@mastodon.cosmicnation.co comentó: “A algunos administradores de instancias se les recordó que tenían una instancia. Y también aprendimos que hay MUCHAS instancias abandonadas con la puerta abierta para registrarse sin aprobación”.
Durante los últimos días, el servidor administradores Trabajaron juntos a crear listas continuas de instancias abandonadas que otros administradores podrían usar como base para una lista de bloqueo para proteger a sus propios usuarios de los ataques de spam. Muchos servidores simplemente se cerraron porque sus administradores decidieron que sería más fácil esperar a que pasara el ataque o abandonar Mastodon por completo.
Popular aplicación Mastodon de terceros Ivoryde Tapbots, lanzó una actualización de emergencia que incluía un filtro personalizado denominado «Spam potencial» en su pestaña Filtro que permitiría a los usuarios silenciar las menciones de spam. Los usuarios afectados podían activar este filtro para detectar la mayor parte del spam, pero no podían detener las notificaciones push de spam, dijo la compañía.
El ataque parece estar amainando a partir de esta mañana. El tecnólogo e investigador Tim Chambers (@tchambers@indieweb.social) señaló que hoy era el primer día en cuatro días en que tenía menos de 40 cuentas de spam para suspender en el servidor que administra, por ejemplo. Mastodon le dice a TechCrunch que en servidores activos con un equipo de moderación reactiva, Mastodon tiene múltiples herramientas para evitar el registro automatizado de cuentas, incluido el modo de aprobación, CAPTCHA y varias herramientas de bloqueo, por lo que el atacante fue manejado muy rápidamente. También señaló que el ataque de spam estaba disminuyendo ya que los dos grupos de hackers aparentemente habían hecho las paces.
Mientras que algunos vieron la experiencia como algo positivo para la red social y la diversidad social en general, ya que reveló una debilidad que ahora podía discutirse y abordarse, otros estaban enojados por la experiencia y la falta de respuesta de Rochko en las primeras horas del ataque.
“Esto está arruinando mi experiencia con Mastodon. Me dan ganas de alejarme y rendirme”, escribió un administrador del servidor Mastodon. sam@urbanistas.social. «Y el continuo silencio de Eugen sobre el problema no ayuda con eso», dijeron.
El CTO de Mastodon, Renaud Chaput, dijo que el ataque impulsará a la empresa a mejorar su software.
“Por el momento, no existen buenas herramientas integradas para manejar esto, ya que se trata de un tema complejo: ¡las redes federadas no son fáciles! – pero tenemos muchas ideas sobre cómo mejorar nuestras funciones de lucha contra el spam y el abuso”, dijo. “Se trabajará en ello durante los próximos meses. Siempre estamos trabajando para mejorar el software (la última versión introdujo soporte captcha opcional). Otra medida que tomamos hoy es cambiar la configuración de las instancias nuevas para que no estén abiertas de forma predeterminada, y agregamos un banner para recordar a los administradores que las instancias completamente abiertas deben moderarse activamente, por lo que esta debe ser una decisión cuidadosa por parte del administrador. ”, añadió Chaput.
Desde la llegada de Instagram Threads, otro competidor de Twitter/X que también planea federarse usando ActivityPubEl uso de Mastodon ha tenido una tendencia a la baja.
En octubre del año pasado, Mastodon había crecido hasta Incluye alrededor de 1,8 millones de usuarios activos mensuales. Cuando Threads se lanzó públicamente, ya había cayó a 1,5 millones. A partir de este mes lanzamiento público de Blueskyotra red social descentralizada basada en un protocolo diferente (lo que significa que no es parte del mismo fediverse, al menos hasta que se construya un puente), el uso de mastodontes había abandonó a 1 millón de usuarios activos mensuales.
Ahí es donde continúa el uso de Mastodon en la actualidad, según la página de inicio de la compañía. El fediverse más amplio, que incluye Mastodon y otras aplicaciones, tiene alrededor 2,9 millones de usuarios activos mensuales. La entrada de Threads en este espacio eclipsará a otros servidores de Mastodon y podría aportar la experiencia técnica de Meta en áreas como la prevención de spam, pero a muchos les preocupa que el objetivo final de Meta sea esencialmente hacerse cargo del fediverse convirtiéndose en el cliente predeterminado que los usuarios eligen y usando su recursos significativos para escalar la adopción de la aplicación de Meta.
Actualizado el 20/02/24, 1:31 pm ET para agregar el comentario del CTO de Mastodon