Las redes sociales descentralizadas no son inmunes al spam impulsado por botnets, como lo demuestra un reciente ataque de spam a Bluesky. A principios de este mes, apareció en la red de Bluesky una avalancha de publicaciones que decían “recuerda votar siempre por Trump” publicadas por cuentas con nombres aleatorios y avatares predeterminados.
Sin embargo, el spam no se originó en Bluesky. En cambio, llegó a Bluesky cruzando primero otras dos redes descentralizadas: Mastodon y Nostr. Para hacerlo, la botnet aprovechó “puentes” o vías construidas entre las redes que las hacen interoperables.
Aunque el ataque de spam ocurrió el 11 de mayo, la autopsia realizada por un científico de datos se publicó hace solo unos días, lo que atrajo una mayor atención al evento. Como explica el blog Conspirador Norteño, las cuentas que enviaron spam a Bluesky habían sido creadas a través del protocolo de redes sociales Nostr.
El protocolo de Nostr impulsa aplicaciones como damasNostur, Nos y otros. Actualmente también es la red elegida por el cofundador y ex director ejecutivo de Twitter, Jack Dorsey, debido a su popularidad entre los usuarios de Bitcoin. En Twitter, sin embargo, Dorsey había respaldado el proyecto que más tarde se convirtió en la startup de redes sociales descentralizadas Bluesky. pero el tiene desde que dejó su junta directivadicho él piensa El equipo de Bluesky ahora estará repitiendo los mismos errores que él y otros cometieron en Twitter. Hoy en día, Dorsey participa regularmente en Nostr, que considera un protocolo más abierto.
Puede parecer extraño, pero aunque Nostr y plataformas como Mastodon y Bluesky son redes descentralizadas, en realidad no se comunican entre sí. Mastodon utiliza el protocolo ActivityPub, que ahora también está siendo adoptado por Meta en Hilos de Instagramy otras aplicaciones y servicios, incluidos Flipboard y rival de Substack de código abierto Fantasma.
Para permitir que los mensajes de una red pasen a otra, se están construyendo puentes. Ese ya ha sido un punto de discordia entre algunos usuarios de redes sociales descentralizadas ya que diferentes grupos han discutido sobre cómo deberían construirse los puentes, mientras que otros se preguntan si los puentes deberían existir en primer lugar.
Este último grupo ahora podría señalar este evento reciente como un ejemplo de las desventajas de los puentes, ya que la botnet aprovechó inteligentemente los puentes para enviar spam a otra red.
Según el análisis del ataque, el spam de Nostr se envió primero a Mastodon a través del puente Momostr.pink. Luego, otro puente llamado Bridgy Fed envió el contenido de Mastodon a Bluesky.
“Las huellas dactilares de este proceso aparecen en las versiones de las publicaciones de Bluesky, donde los identificadores de cuentas tienen el formato npub.momostr.pink.ap.brid.gy”, escribió conspirador0@newsie.social en Subpila. “La primera parte de esto (desde npub hasta el primer punto) es la clave pública de la cuenta Nostr, mientras que el resto (momostr.pink.ap.brid.gy) contiene algunas indicaciones sobre las herramientas utilizadas para unir las publicaciones ( Momostr y Bridgy Fed)”.
La botnet pudo publicar spam de “vota Trump” continuamente hasta que Bluesky tomó medidas contra las cuentas de spam. El conjunto de datos para el análisis estaba incompleto porque Bluesky comenzó a eliminar cuentas mientras se recopilaban los datos. Aún así, por lo recopilado, parece que al menos 228 cuentas lograron publicar 470 veces en cuestión de sólo seis horas. Alrededor de la mitad de ellas eran publicaciones de “vota por Trump”, mientras que otras publicaron “hola mundo” con un adjetivo aleatorio intercalado entre las dos palabras.
Bluesky mitigó el ataque con bastante rapidez y eliminó las cuentas de spam. La compañía aún no ha respondido a las solicitudes de comentarios sobre si cambiará su enfoque hacia el spam o los puentes.
Como señaló el sitio The Fediverse Report, este tipo de ataque de spam fue posible porque Nostr hace que sea especialmente fácil crear nuevas cuentas. El incidente plantea una vez más la cuestión de qué es realmente el fediverso, es decir, las redes sociales descentralizadas. Si te unes a Bluesky, ¿das tu consentimiento para ser parte de una red que incluye contenido de Nostr? ¿La red de Bluesky incluye a Mastodon porque se ha construido un puente?
Estas son preguntas que aún no tienen respuestas sólidas.
