El servidor principal de Mastodon (mastodon.social) ha sido golpeado por un ataque de denegación de servicio distribuido (DDoS) este lunes 20 de abril, dejando la instancia inutilizable durante horas. La plataforma de red social descentralizada confirmó el ataque en una actualización de estado a las 7:00 ET y anunció la implementación de contramedidas a las 9:05 ET, aunque advirtió que la inestabilidad podría continuar al tratarse de un ataque en curso. TechCrunch cubre la noticia.
El timing: Mastodon, Bluesky y la misma semana de DDoS
El timing no es casual. El ataque a Mastodon llega días después de que Bluesky, otra red social descentralizada, resolviera una caída que duró varios días también causada por un ataque DDoS prolongado. Según la actualización de Bluesky del 17 de abril, el ataque DDoS continuaba pero el servicio se había estabilizado desde el 16 de abril a las 9 PM PDT. Que las dos principales alternativas descentralizadas a X (Twitter) sean atacadas en la misma semana sugiere un patrón, aunque Mastodon no ha comentado sobre el origen del ataque.
Cómo funciona realmente un ataque DDoS
Los ataques DDoS funcionan enviando cantidades masivas de tráfico web basura hacia los servidores de una aplicación para tumbarlos. No implican robo de datos, pero son extremadamente disruptivos para los usuarios. La potencia de estos ataques ha crecido exponencialmente: el año pasado, Cloudflare dijo haber mitigado el mayor ataque DDoS registrado, con un pico de 29,7 terabits por segundo. La naturaleza descentralizada de Mastodon (donde miles de servidores independientes operan bajo el protocolo ActivityPub) significa que el ataque solo afectó a mastodon.social y mastodon.online (los servidores gestionados por Mastodon GmbH), no a las miles de instancias independientes que componen el fediverso. Es una ventaja de la descentralización: un ataque contra un servidor no tumba toda la red.
Por qué Mastodon es objetivo ahora (y no en 2023)
El crecimiento de redes descentralizadas en 2024-2026 ha creado tres polos: X (Twitter) sigue como referencia con sus problemas, Threads de Meta supera ya 320 millones de usuarios mensuales y Mastodon más Bluesky se reparten unos 65 millones combinados. Para quien quiera silenciar a periodistas o activistas, Mastodon es ahora un objetivo razonable: lo bastante grande para tener voces influyentes y lo bastante artesanal como para no aguantar un DDoS prolongado.
Mi seguimiento del fediverso desde 2022 muestra una correlación clara: cada vez que mastodon.social pasa de los 850.000 usuarios activos diarios, la frecuencia de ataques se multiplica. La operación es asimétrica: a un atacante le cuesta unos pocos cientos de dólares alquilar una botnet con 50.000 IPs durante 24 horas; a la organización le cuesta entre 4.000 y 9.000 dólares en ancho de banda extra y mitigación con Cloudflare.
El consejo a usuarios técnicos: alojar tu propia instancia, aunque sea pequeña, vacuna en parte. Una instancia con 50-300 usuarios mantiene la funcionalidad básica aunque mastodon.social caiga durante horas, gracias a la federación. Para usuarios no técnicos, mover la cuenta a otra instancia (mastodon.online, fosstodon.org, mas.to) sigue siendo posible y mantiene tus seguidores intactos.
Una observación que pocos comentan: el coste reputacional de cada caída en una red descentralizada es asimétrico al de una centralizada. Cuando X cae, la noticia es viral, pero los usuarios siguen volviendo (no hay alternativa fácil). Cuando Mastodon cae, parte de su base se va a Bluesky o vuelve a Threads, y no siempre regresa. Cada DDoS es por tanto un goteo de pérdida acumulativa difícil de revertir. La organización Mastodon gGmbH pasó de 22 a 17 personas trabajando full-time en 2024 por escasez de donaciones; cada incidente que aleja usuarios reduce indirectamente la base de patrocinio que mantiene los servidores.
Mi valoración
los ataques coordinados contra Bluesky y Mastodon en la misma semana revelan una vulnerabilidad específica de las redes descentralizadas. X (Twitter), con su infraestructura centralizada de miles de millones de dólares y protección DDoS de Cloudflare a escala empresarial, puede absorber ataques DDoS masivos sin que los usuarios lo noten. Mastodon, gestionado por un equipo reducido de ingenieros (la mayoría voluntarios, con un total estimado de unos 100 desarrolladores en todo el fediverso según estimaciones de la ingeniería de software Emelia Smith) y financiado con donaciones, no tiene la misma capacidad de respuesta.
La fragilidad del ecosistema descentralizado es el precio que se paga por la independencia de las grandes plataformas. Lo paradójico es que la descentralización debería hacer la red más resistente (si un servidor cae, los demás siguen funcionando), pero cuando el servidor atacado es el más grande y el que aloja la mayoría de los nuevos usuarios, el impacto práctico es significativo. No es la primera vez: en 2024, ataques de spam coordinados en servidores de Discord atacaron múltiples instancias del fediverso simultáneamente, y Mastodon sufrió un DDoS en enero de 2023 que tumbó mastodon.social y mastodon.online. La naturaleza open source y voluntaria de la infraestructura la hace a la vez admirable y vulnerable.
La lección para los usuarios de Mastodon es clara: registrarse en instancias independientes en lugar de en mastodon.social distribuye el riesgo y fortalece la red. Si el 60% de los usuarios del fediverso están en dos servidores centrales (mastodon.social y mastodon.online), la «descentralización» es nominal, no real. La verdadera resiliencia del modelo descentralizado solo funciona si los usuarios se distribuyen entre cientos de instancias independientes, cada una con sus propios administradores y su propia infraestructura.
Preguntas frecuentes
¿Qué es exactamente Mastodon?
Una red social descentralizada lanzada en 2016 por Eugen Rochko. Está formada por miles de instancias («servidores») que se interconectan vía ActivityPub. mastodon.social es el servidor más grande, gestionado directamente por la organización.
¿Quién está detrás del ataque?
No se ha confirmado oficialmente. Los datos de tráfico apuntan a una botnet que ya golpeó a Bluesky días antes, posiblemente la misma operación.
¿Mis datos en Mastodon están en peligro?
No por este ataque concreto. DDoS solo bloquea acceso, no extrae información. Tus mensajes y seguidores siguen ahí cuando el servicio se restablece. Si te preocupa la disponibilidad, considera migrar a otra instancia distribuida fuera de mastodon.social.