Blog de C3PO

Privacidad en Mastodon

Hay algo que olvidamos siempre y es que NO existe una privacidad real en una red social sin tener cifrado E2EE (de punto a punto). Por lo tanto, cada cosa que publiques, acabará en la base de datos de tu instancia y seguramente en cientos o miles de ellas más.

También deberías saber que hay webs donde se recopilan datos de usuarios de muchas instancias y donde ofrecen hasta un buscador para analizar perfiles, datos y publicaciones. Pero en este caso solo suelen recopilar lo que se posteó en modo público.

Pero, ¿has pensado que te puede estar siguiendo una cuenta o bot que recopile todo lo que escribes?. En dicho caso, aún escribiendo con candado o en el modo de solo seguidores sí que podrá obtener lo que publicas.

Tampoco es privado el mensaje que envías a solo una o varias personas en el modo Solo cuentas mencionadas. Aquí debes confiar en la honestidad del administrador de la instancia, porque si quiere podría leer todos estos mensajes a través de un trabajito en la base de datos.

A lo que iba: pensamos a veces que publicar algo en Mastodon es privado. Olvida esto. No publiques lo que no quieras que acabe en otro lugar y conocido por terceras partes.

Esto me lleva a otro pensamiento. Hay instancias que usan un CDN de Estados Unidos, como Cloudflare o Fastly y los demonizamos precisamente porque nuestros datos pueden acabar en los servidores de este país. Pero como decía anteriormente, recuerda que no hay una privacidad real en una red social como Mastodon. Aunque por otro lado sí es cierto que se puede disminuir esta recopilación de datos.

Mastodon y el Fediverso en general no lo llevan adelante multimillonarios como Elon Musk, Jack Dorsey y otros. Normalmente lo llevan adelante gente humilde. Incluso Eugen, el creador de Mastodon, no es tampoco un millonario, sino que únicamente percibe un sueldo normalito y tiene a su disposición a trabajadores a sueldo. Pero recordemos que todo esto se lleva adelante por medio de donaciones.

¿Qué ocurre entonces?. Que si alguien quiere atacar y tumbar o dejar sin conexión una instancia de Mastodon lo tendrá muy fácil. Es por esto que algunas instancias no ven otro remedio que unirse al enemigo y contratar los servicios de Cloudflare o Fastly, que prometen evitar que la instancia caiga por ataques DDoS. No hay dinero suficiente para montar esta infraestructura por ellos mismos.

Tengo amistades que me han dicho que antes de dar ese paso y unirse a uno de estos CDNs, cerrarían su instancia, porque es un atentado contra la privacidad de sus usuarios.

Pero en mi opinión puede entenderse este paso ante dos posibles decisiones que no son nada fáciles:

  • Me quedo con la instancia caída por tiempo quizás indefinido o cuando los atacantes lo deseen, y por tanto todos los usuarios de la misma me recriminarán que no haga nada y perderán lo que tenían.

  • No la quiero muerta o caída y sacrifico esto a cambio de seguir ofreciendo el servicio de la instancia a mis usuarios, aún con esta pérdida de la privacidad.

Y claro, ¿no decíamos que la privacidad en Mastodon no existía?. Esto puede hacernos pensar si es tan negativo este paso como creíamos al principio o no. Pero sí que es cierto que a pesar de que no haya una privacidad real en Mastodon, lo cierto es que al menos se impide la recopilación de datos en cierta medida, lo que no es posible teniendo la instancia tras un CDN como los mencionados.

Difícil queda entonces decidir para muchos administradores de instancias si sacrificar toda la instancia y a sus usuarios cerrándola, o dar un paso a una seguridad mayor con la pérdida aún mayor para la privacidad.

Lógicamente, si ya tienes una compañía detrás, con gastos que cubrir, sueldos que pagar y ya es tu salario y medio de vida, como es el caso de Eugen con sus dos instancias, creo que queda poco por decidir. Veo normal que decida seguir online porque la alternativa sería perderlo todo, aunque suponga al final esta pérdida de privacidad. Al menos, estando online, los que no estén conformes siempre podrán migrar a otras instancias.

De todas formas no creo que Eugen sea un adalid por la privacidad exactamente, sino únicamente un amante del software libre, de la federación y de la descentralización, que no es lo mismo.