Hace unos meses, hubo una gran controversia en Mastodon, todo a raíz de un caso particular en la instancia de kolektiva.social. En resumidas cuentas: El FBI allanó la casa de uno de los administradores de dicho servidor y tomó todos sus dispositivos electrónicos, incluida una copia de seguridad de la base de datos del servidor. Fue un suceso muy trágico debido a la importancia y naturaleza de dicho servicio, que permite la participación de anarquistas y personas de movimientos “x” para hacer activismo tanto en las redes como en la calle.
En su momento, fui uno de los primeros en reaccionar al tema y fui muy crítico de la situación debido a la reacción de dichos administradores, que, pese a tener conocimientos del área, fueron algo despistados. Además, el comunicado oficial no lo dieron en el momento de la situación, sino mucho después (la redada ocurrió a mediados de mayo y el aviso no llegó hasta el 30 de junio) , algo también deplorable, no dejando mucho tiempo a sus usuarios para que hicieran lo posible por migrar. Además, de “tranquilizar” a los mismos y recomendar que cambiaran sus claves, como si fuera ya suficiente. De hecho, el error ya estaba hecho, los datos que pudieron tomar a raíz de esa copia de la base de datos eran suficientes para dejar un precedente… Lo hecho, hecho está. Agrego: admito y sostengo aún en la actualidad qué, lo mejor que pudieron haber hecho fue CERRAR la plataforma y dejar el aviso del por qué, pero nada de eso hicieron y de hecho aún siguen activos (mal). Ahora sí, vamos con toda la historia y la visión de la EFF respecto a dicho suceso, para qué siembre un precedente y dichos administradores del resto de servidores y servicios CUMPLAN con lo que es.
NOTA: En su momento no escribí esto debido a que no se había desarrollado por completo la noticia e información, estaba muy en desarrollo y no quería escribir meramente especulaciones. Además, de tener poco tiempo.
Traducción del artículo de la EFF:
“Estamos en un momento emocionante en cuanto a la recuperación del control de las principales plataformas, como Twitter y Facebook, por parte de los usuarios. Sin embargo, este nuevo entorno plantea desafíos y riesgos para la privacidad del usuario, por lo que es fundamental abordarlos adecuadamente y asegurarnos de que plataformas como Fediverse y Bluesky consideren las lecciones aprendidas de experiencias pasadas.
En mayo, se produjo un incidente preocupante en el servidor de Mastodon Kolektiva.social cuando el FBI registró la casa de uno de los administradores del servidor por cargos no relacionados. Durante la operación, se confiscaron todos sus dispositivos electrónicos, incluyendo una copia de seguridad de la base de datos de la instancia. Esta historia resulta alarmantemente familiar y debe servir como una advertencia para los anfitriones, usuarios y desarrolladores de plataformas descentralizadas: si nos preocupa la privacidad, debemos tomar las medidas necesarias para protegerla. En el Fediverso, tenemos la oportunidad de hacerlo mejor desde el principio, así que aprovechemos esta oportunidad y estemos atentos.
Esta historia de “incautación de todos sus dispositivos electrónicos” es un reflejo de muchas historias relacionadas con los derechos digitales. Un caso emblemático de la EFF hace más de 30 años, conocido como “Steve Jackson Games v. Secret Service“, involucró la incautación excesiva de equipos en las oficinas de Steve Jackson Games en Texas, basándose en acusaciones infundadas sobre comportamiento ilegal en una sala de chat en 1990. Esta operación casi llevó a la quiebra a esta pequeña empresa de juegos y también impulsó a la EFF recién formada a tomar medidas. Aunque ganamos el caso, el enfoque desmesurado de las fuerzas del orden en cuanto a las incautaciones sigue siendo una realidad hasta el día de hoy”.
También hacen referencia a los esfuerzos que han llevado a cabo para limitar el alcance de la ley, focalizándose únicamente en los dispositivos involucrados y en casos de gran importancia. Además, recalcan la importancia de depurar cualquier copia de los datos al concluir el caso, evitando dejar vulnerabilidades abiertas. No obstante, admiten que cambiar estas leyes es un desafío considerable, y que la responsabilidad de actuar de manera responsable recae en quienes gestionan dichos espacios y en sus usuarios, quienes deben adoptar buenas prácticas en todo momento.
Según kolektiva, la base de datos incautada, ahora en posesión del FBI, contiene información personal como direcciones de correo electrónico, contraseñas encriptadas y direcciones IP de tres días antes de la fecha en que se realizó la copia de seguridad. También incluye publicaciones, mensajes directos e interacciones que involucran a un usuario en este servidor. Debido a la naturaleza de la Fediverse, esto también implica mensajes y publicaciones de usuarios de otras instancias. Para empeorar las cosas, parece que el administrador atacado durante la redada estaba en medio de una tarea de mantenimiento, lo que dejó material potencialmente encriptado disponible sin encriptar en el momento de la incautación.
¿Cuáles son las recomendaciones de EFF para proteger a los usuarios de un host de servidor descentralizado cuando el gobierno los llama a la puerta?
EFF ha hecho varias recomendaciones para los anfitriones de redes descentralizadas con el fin de proteger a sus usuarios en situaciones en las que el gobierno busca acceder a la información del usuario. Algunas de estas recomendaciones incluyen:
1. Implementar prácticas básicas de seguridad, como el uso de cortafuegos y limitar el acceso de los usuarios al servidor y a la base de datos. Además, se sugiere mantener registros de acceso solo durante un período de tiempo razonable y revisarlos periódicamente para asegurarse de que solo se esté recopilando la información necesaria.
2. Limitar la cantidad de datos que se recopilan y almacenan en el servidor, y almacenarlos solo durante el tiempo necesario.
3. Mantenerse actualizado sobre las posibles amenazas de seguridad en el código de la plataforma utilizada y asegurarse de actualizar el servidor con las últimas versiones.
4. Establecer políticas y prácticas claras para proteger a los usuarios, como informes de transparencia regulares sobre los intentos de las fuerzas del orden de acceder a la información del usuario, así como políticas sobre cómo responder si la policía solicita contenido o impone órdenes de confidencialidad. Es importante comprometerse a notificar a los usuarios lo antes posible sobre cualquier acción de aplicación de la ley que involucre el acceso a su información y comunicaciones.
EFF ha detallado estas recomendaciones y otras protecciones clave en sus páginas “Who Has Your Back” y también han preparado un manual legal para que los anfitriones fediversos lo consideren.
Es importante tener en cuenta que el aviso oportuno a los usuarios en caso de cualquier acción de aplicación de la ley es fundamental para que puedan tomar medidas necesarias para protegerse.
¿Cuáles son las acciones que pueden tomar los desarrolladores?
Aunque el cifrado de extremo a extremo de los mensajes directos no habría protegido todos los datos incautados por el FBI en este caso, es lamentable que Mastodon haya carecido de esta característica durante años. No obstante, su implementación al menos habría salvaguardado gran parte del contenido privado que se encontraba en el servidor Kolektiva. Ha habido algunas propuestas para habilitar esta funcionalidad, por lo que los desarrolladores deben priorizar la búsqueda de una solución. La incursión en Kolektiva debería ser una señal de alarma para todos aquellos que alojan contenido descentralizado. Las redadas e incautaciones policiales pueden resultar impredecibles, incluso cuando se han tomado múltiples precauciones. Además, de leer las fuentes anteriormente ancladas de la Electronic Frontier Foundation para saber cómo actuar ante dichos casos.
En lo que a mí respecta, yo en el pasado ya había escrito sobre la posibilidad de agregar cifrado de extremo a extremo en Mastodon, pero que de momento está en “veremos” y no parece avanzar. Por lo tanto, siguiendo este caso, siendo directo: es lamentable que aún no se le dé prioridad a ello. No son conscientes de su importancia y de lo que está en juego, a pesar de que siempre están en constantes cambios, cuestión que se debe aplaudir y darle méritos por ello. Tienen que centrarse en hacer una cosa bien y es que la plataforma sea segura y no solo visualmente atractiva para todos los públicos. De hecho, si piensan que están compitiendo contra otras plataformas, siendo fatalista, es algo inalcanzable. Ya están posicionadas y aunque a cada rato lleguen oleadas de personas de Twitter a Mastodon, notarán cómo con el tiempo volverán. No es su zona de confort y no es la plataforma de la que están acostumbrados a utilizar. Las redes federadas son nuestro nicho, de los geeks e informáticos que queremos priorizar las buenas prácticas y alejarnos del contenido tóxico, por lo que somos quienes impulsamos dicho espacio.
En cuanto a Kolektiva e instancias de su estilo, sinceramente pienso que si no puedes cumplir con la seguridad de tu servicio, debes cerrar. Son palabras fuertes, pero a largo plazo entenderás que es la mejor decisión para evitar cometer un error del que te puedas arrepentir toda una vida. Incluso podrías llevar a poner en riesgo a usuarios particulares debido a tus malas prácticas, de los cuales, según tus términos y condiciones, dejaste claro que debías mantener segura dicha información. Mantener un servicio no es un juego y aunque es respetable tener uno debido a sus costes de mantenimiento y demás esfuerzos que conlleva tener uno, es de lógica saber que es una gran responsabilidad que no todos pueden asumir; también escribí sobre ello, basandome en mi experiencia de haber pasado por dos instancias del Fediverso.
Los patos disparándole a las escopetas
En el momento en que fui crítico con tal situación y expuse mi experiencia por haber pasado por dos instancias (quey.org y quey.la), surgió una profunda reflexión. Incluso, varios aprovecharon para atacarme y tratar de avergonzarme públicamente. Esto se debe a la penosa finalización del servicio quey.la mientras yo era administrador. ¿Qué sucedió y en qué fallé? En resumen, anuncié que me unía para crear mi propia instancia, pero como coautor, por lo que no estaba totalmente a cargo de todo. El administrador del sistema siempre fue Custard, quien de repente desapareció y luego regresó trayendo consigo una triste historia que bien podría convertirse en una película. Resulta que documenté bien dicho caso y mi error fue confiar en ese autor debido a su experiencia en administración de servicios y demás. Nunca creí que jugaría con mi confianza y la de los demás. Mi teoría es sencilla: nunca buscó robar datos, dinero o cualquier otra cosa, simplemente se llenó de lágrimas y orgullo (teníamos choques internos). La única forma en que pudo acabar conmigo fue hundiendo el barco (un capitán se hunde con su navío) y lo logró. Debido a esto, perdí credibilidad. Aunque desde el primer momento en que los servicios fallaron corrí a ver si podía recuperar algo, incluso partiendo de la buena fe del sujeto, me puse en contacto con él, algo que nunca sucedió, ni siquiera antes, durante o después. No pudo enfrentar las consecuencias. Y bueno, cuando quise reaccionar, fue demasiado tarde.
En fin, acá documente todo el suceso y cómo bien dicen “el resto fue historia”.
Alguien en su momento me hizo una pregunta respecto al tema y fue ¿Qué tal si lo de Kolektiva fuera tu caso? ¿Qué hubieras hecho? Yo le respondí algo extenso y que no puedo recuperar debido a que tengo la eliminación de mis publicaciones durante cada semana, pero en resumen: SIEMPRE daría señales de que las fuerzas del orden están actuando, tendría algo así como un Warrant Canary para avisar a todo el mundo sin levantar sospechas de los agentes y obvio, cerraría el sitio para prevenir infiltraciones durante y después, luego daría las explicaciones con toda la historia y sé que lo entenderían, es lo correcto.