El servidor principal de Mastodon (mastodon.social) ha sido golpeado por un ataque de denegación de servicio distribuido (DDoS) este lunes 20 de abril, dejando la instancia inutilizable durante horas. La plataforma de red social descentralizada confirmó el ataque en una actualización de estado a las 7:00 ET y anunció la implementación de contramedidas a las 9:05 ET, aunque advirtió que la inestabilidad podría continuar al tratarse de un ataque en curso. TechCrunch cubre la noticia.
El timing no es casual. El ataque a Mastodon llega días después de que Bluesky, otra red social descentralizada, resolviera una caída que duró varios días también causada por un ataque DDoS prolongado. Según la actualización de Bluesky del 17 de abril, el ataque DDoS continuaba pero el servicio se había estabilizado desde el 16 de abril a las 9 PM PDT. Que las dos principales alternativas descentralizadas a X (Twitter) sean atacadas en la misma semana sugiere un patrón, aunque Mastodon no ha comentado sobre el origen del ataque.
Los ataques DDoS funcionan enviando cantidades masivas de tráfico web basura hacia los servidores de una aplicación para tumbarlos. No implican robo de datos, pero son extremadamente disruptivos para los usuarios. La potencia de estos ataques ha crecido exponencialmente: el año pasado, Cloudflare dijo haber mitigado el mayor ataque DDoS registrado, con un pico de 29,7 terabits por segundo. La naturaleza descentralizada de Mastodon (donde miles de servidores independientes operan bajo el protocolo ActivityPub) significa que el ataque solo afectó a mastodon.social y mastodon.online (los servidores gestionados por Mastodon GmbH), no a las miles de instancias independientes que componen el fediverso. Es una ventaja de la descentralización: un ataque contra un servidor no tumba toda la red.
Mi valoración: los ataques coordinados contra Bluesky y Mastodon en la misma semana revelan una vulnerabilidad específica de las redes descentralizadas. X (Twitter), con su infraestructura centralizada de miles de millones de dólares y protección DDoS de Cloudflare a escala empresarial, puede absorber ataques DDoS masivos sin que los usuarios lo noten. Mastodon, gestionado por un equipo reducido de ingenieros (la mayoría voluntarios, con un total estimado de unos 100 desarrolladores en todo el fediverso según estimaciones de la ingeniería de software Emelia Smith) y financiado con donaciones, no tiene la misma capacidad de respuesta.
La fragilidad del ecosistema descentralizado es el precio que se paga por la independencia de las grandes plataformas. Lo paradójico es que la descentralización debería hacer la red más resistente (si un servidor cae, los demás siguen funcionando), pero cuando el servidor atacado es el más grande y el que aloja la mayoría de los nuevos usuarios, el impacto práctico es significativo. No es la primera vez: en 2024, ataques de spam coordinados en servidores de Discord atacaron múltiples instancias del fediverso simultáneamente, y Mastodon sufrió un DDoS en enero de 2023 que tumbó mastodon.social y mastodon.online. La naturaleza open source y voluntaria de la infraestructura la hace a la vez admirable y vulnerable.
La lección para los usuarios de Mastodon es clara: registrarse en instancias independientes en lugar de en mastodon.social distribuye el riesgo y fortalece la red. Si el 60% de los usuarios del fediverso están en dos servidores centrales (mastodon.social y mastodon.online), la «descentralización» es nominal, no real. La verdadera resiliencia del modelo descentralizado solo funciona si los usuarios se distribuyen entre cientos de instancias independientes, cada una con sus propios administradores y su propia infraestructura.
Preguntas frecuentes
¿Se han robado datos de usuarios? No. Los ataques DDoS no implican robo de datos, solo interrupción del servicio mediante saturación de tráfico. ¿Otras instancias de Mastodon se vieron afectadas? No. Solo los servidores gestionados por Mastodon GmbH (mastodon.social y mastodon.online) fueron atacados. Las instancias independientes funcionaron con normalidad. ¿Quién está detrás de los ataques? Ni Mastodon ni Bluesky han identificado a los atacantes. Ataques DDoS anteriores contra Mastodon fueron coordinados por adolescentes en servidores de Discord.