¿Cuánto de segura es Mastodon?

Semana sí y semana también, Twitter llega a las noticias. Sea por sus propios problemas, por los anuncios de Elon Musk o por la competencia. A este respecto, Mastodon parece ser el reemplazo más aceptado, con un número de usuarios que ha pasado de 700.000 a más de 7 millones en el último mes. Y con la llegada de nuevas cuentas, también se presentan los problemas de seguridad y privacidad. Y llega la pregunta: ¿cuánto de segura es Mastodon?

La nueva red social (pese a que se creó en 2016, comenzó a funcionar como tal hace muy poco) se basa en un modelo de servidor independiente conocido como instancias. En este tipo de modelo la seguridad depende del administrador que lo configuró y el responsable de mantener cada servidor individual.

Mastodon cuenta con más de 17.000 instancias a cargo de voluntarios que pueden o no saber cómo proteger las contraseñas y las direcciones de correo electrónico de los usuarios. Una de las preocupaciones de la Comisión Europea en este aspecto era el software y para evitar cualquier problema creó un programa para detectar errores que resultó en 35 parches.

La falta de una auditoría independiente a lo largo de estos años también es otra debilidad del sistema. De hecho se descubrió que se podían robar los datos de más de 150.000 usuarios de un servidor que no estaba protegido con contraseña. Los datos se limitaron a nombres de cuentas, nombres para mostrar, imágenes de perfil, recuento de seguidores y recuento de seguidores.

Otra de de las vulnerabilidades descubiertas este mes hizo posible robar las contraseñas de los usuarios mediante la inyección de HTML especialmente diseñado en el sitio.

Los desarrolladores y administradores de Mastodon se apresuraron a parchear las vulnerabilidades una vez que se informaron. El problema es que Mastodon está creciendo a un ritmo demasiado acelerado y no cuenta con equipos de ingenieros de seguridad que se aseguran de que su plataforma esté actualizada.

Otro aspecto es que, debido a su uso de diferentes servidores, Mastodon podría ser más vulnerable a los ataques de denegación de servicio (se bombardea al servidor con más tráfico del que puede aceptar), lo que facilitaría el robo de datos. La red social tampoco cuenta con un equipo especializado en moderación de contenido, lo que podría convertirla rápidamente en un sitio de fake news y contenidos que violan leyes europeas de privacidad y contenido.