Mostr: Fediverso, Nostr y puentes donde todo falla
1 de ene. de 2025 - #Informática
Volvemos a tener drama en el Fediverso, en esta ocasión por un puente llamado “Mostr”. Voy a intentar explicar la situación de una forma relativamente sencilla, porque esto tiene su enjundia.
Cómo funciona el Fediverso
El Fediverso consiste en múltiples nodos (o servidores, ordenadores dedicados a compartir información en Internet) con aplicaciones diferentes que son capaces de intercambiar información entre sí porque “hablan el mismo idioma” llamado ActivityPub que es un estándar. Esos nodos pueden federan entre ellos o no, es decir, aceptan ese intercambio de comunicación o lo deniegan por ser “non grato”.
Cuando los nodos federan, pueden tener copias de los mensajes emitidos en un nodo ajeno. No es un concepto que os deba resultar extraño: pensad en el correo electrónico: cuando escribís un correo electrónico queda una copia en tu “bandeja de salida”, y otra en la “bandeja de entrada” del receptor. Esto es exactamente igual: los mensajes llegan a los nodos federados. Además, los mensajes públicos se pueden sacar via RSS desde fuera de la red, lo que es comportamiento completamente correcto.
Puentes y el puente de Mostr
Un puente es un sistema que lleva contenido de una plataforma a otra. En el caso que nos ocupa, básicamente realiza una traducción entre protocolos. En el caso que nos ocupa hoy, de ActivityPub a Nostr.
Mis primeras impresiones al curiosear Mostr fueron las siguientes:
- Parte técnica: Mostr obtiene en su nodo una copia de la información que publicas en el perfil de tu nodo, lo que es totalmente correcto. A continuación, crea una copia de tu perfil del Fediverso en un segundo perfil del Fediverso dentro de su nodo, lo que ya no es tan correcto porque tú no has aceptado en ningún momento las condiciones de se nodo. A su vez, ese segundo perfil es “puenteado hacia Nostr”, escribiendo el texto traducido al protocolo (o idioma) de Nostr dentro de una tercera cuenta de la red Nostr, cuyas condiciones tampoco has leído ni aceptado en ningún momento.
- Parte legal: Si hay algún problema legal, el propietario original de los mensajes no puede hacer nada con la cuenta en Nostr, de la que no es propietario, nt tampoco con la de Mostr salvo solicitar la aplicación de la via legal del GDPR (Reglamento General de Protección de Datos), según la cual tienen la obligación de borrar el contenido que ha sido obtenido sin consentimiento cuando así se solicita.
- Parte ética: En el pasado he hablado de BridgyFed, que si bien a mi personalmente no me convence como la mejor solución por algunas lagunas técnicas y legales, es ético porque el propietario de la cuenta es quien decide meterse allí voluntariamente de forma informada, por lo que los respeto y creo que cada uno puede hacer lo que mejor le convenga según sus necesidades. En el caso de Mostr no es así: acepta una serie condiciones sobre el contenido replicado sin consentimiento del propietario que en ningún momento ha sido informado.
Ante estas circunstancias, mi curso de acción ha sido el siguiente:
- Bloquear ese dominio desde mi cuenta del Fediverso: si ese dominio quiere algo desde dentro del Fediverso, yo no se lo voy a dar de buenas.
- Contactar con el administrador de mi nodo dentro del Fediverso, porque lo considero un problema global. Esta persona que es maravillosa me indicó que ya estaba informado e implementado a nivel de de servidor, por lo que no me debía preocupar.
- Estar atenta porque esto es un problema a mayor escala que mi persona o mi servidor.
El GDPR y sus límites
Yo no domino el legalés, ese idioma técnico propio de los abogados, así que lo que voy a reproducir es una simplificación que me hizo un conocido que sí que pertenece a ese gremio:
- Se pueden obtener y manejar los datos públicos sin interés corporativo: no hay nada malo porque tomen los mensajes públicos originales y los reproduzcan en su estado original, siempre que no se intenten monetizar.
- Se pueden usar tus datos con interés corporativo si has dado tu consentimiento informado de forma unívoca: la palabra clave aquí es consentimiento.
- Se tiene derecho de modificación o eliminación: si le solicitas que los borren, deben hacerlo, porque esa es la ley.
- Los datos personales identificables (nombre legal completo, dirección de su domicilio) pueden ser recopilados cuando es necesario, pero dada su naturaleza sensible deben recibir un tratamiento especial y no compartirse: si tienes que rellenar tu domicilio para un pago o un envío es correcto que los tengan, pero no pueden compartirlos públicamente así como así.
Contactando con Mostr: la situación ha escalado rápidamente
Es importante encontrar un punto de contacto, y me he llevado la sorpresa de que conocía de antes a esa persona: estuvo detrás de GAB, unos nodos del Fediverso de ideología extrema que ya habían sido desfederados hace años, y posteriormente había sido ingeniero en TRUTH, la red social de Donald Trump. La negociación no tenía pinta de ser sencilla, pero se tienen las siguiente bases:
Mostr ha replicado contenido de perfiles sin contar con el consentimiento informado de los propietarios de dichos perfiles. Aunque no haya interés corporativo directo, da pie a que un tercero tome el contenido aprovechando su política de datos más laxa, para posteriormente ser empleados por una tercera parte que sí tenga interés corporativo. Un ejemplo de esto podría ser que la federación con Threads, que posibilitaría que Meta emplease esta información para impulsar su programa de “creación de usuarios generados por LLM para mejorar el engagement”, lo que sí es monetizable. En consecuencia, aplicando el GDPR es posible solicitar la retirada y eliminación de esos perfiles.
Cuando se ha contactado con el desarrollador la respuesta de este ha sido bastante descortés, lo que se llevó al envío de notificaciones legales. La siguiente acción del desarrollador ha sido publicar una legal notificación realizando doxxing, es decir, ha revelado pública e intencionadamente información personal sobre una persona, lo que es un comportamiento de violación de protección de datos de naturaleza PII (Información de Identificación Personal) e incitación al acoso. Este comportamiento es legalmente punible.
Llegado este punto creo que no hay nada más que hablar desde el Fediverso: se ha cruzado una línea que lleva la situación plenamente a terreno legal. Lo que sí podéis hacer por vuestra parte para alejaros de esta movida es aseguraros de bloquear el dominio mostr.pub
, y solicitar que los administradores de vuestros nodos o servidores lo bloqueen o desfederen.