Cientos de miles de usuarios están abriendo cuentas en Mastodon, y muchos llegan con preguntas sobre la privacidad del sistema. En el bufete de Carlos Sánchez Almeida, abogado pionero en derechos digitales, estudian el tema. Están recibiendo muchas consultas de usuarios y también de administradores de instancias.
En principio, según el jurista, es aplicable el Reglamento General de Protección de Datos. “Deberíamos ir acostumbrándonos a que para comunicaciones entre dos personas hay que buscar un nivel de privacidad equivalente al de las redes telefónicas”, dice el jurista.
La seguridad básica de Mastodon está cubierta en el sentido de que las instancias emplean lo que se llama cifrado de la capa de transporte (en inglés: Transport Layer Security o TLS), un protocolo criptográfico que mantiene la privacidad de tu conexión con el servidor que hayas elegido. Esto protege tus datos de espías locales que utilicen tu misma red wifi. Pero no mantiene a salvo tus comunicaciones, incluyendo tus mensajes directos, del servidor o instancia que hayas elegido o, si estás enviando mensajes a alguien de una instancia diferente, del servidor que ellos hayan elegido.
En Mastodon, el administrador puede leer tus DMs. Y en Twitter también
Una de las primeras advertencias que hace Mastodon cuando quieres enviar un mensaje privado a otro usuario es la de no compartir información sensible por esa vía: este servicio no está cifrado por el momento en esta plataforma, lo que implica que los administradores de la instancia pueden ver los contenidos.
Un punto débil y reconocido de la privacidad en Mastodon consiste en que el administrador de tu instancia puede ver tus mensajes privados (o DM, Direct Messages, mensajes directos en inglés). Sí, también puede hacerlo un administrador en Twitter o en Instagram (por ahora).
Si un servicio de comunicaciones no tiene cifrado de punta a punta (E2EE), el administrador del registro central tiene acceso a los contenidos de los mensajes que se envíen, aunque no sean públicos. Sucede con todas las plataformas que no llevan cifrado punta a punta, como por ejemplo, Twitter o Instagram.
Esto puede cambiar pronto en Twitter. Elon Musk acaba de anunciar a sus empleados que el cifrado de mensajes directos es una de las 5 prioridades de producto en la empresa, según una grabación de la reunión obtenida por The Verge. Twitter a lo largo de su historia ha hecho varios intentos de implementar cifrado de los DMs; el último, anunciado a principios de año. Según Musk ya ha hablado con Moxie Marlinspike, co-creador del protocolo de Signal, quien ve con buenos ojos colaborar con Twitter para ello.
Privacidad con DMs cifrados, pronto en Mastodon
En Mastodon ya venían trabajando en ello en 2020, y desde la cuenta oficial han anunciado recientemente que esa implementación llegará.
La necesidad del cifrado se viene debatiendo hace años en varios foros, y se había pedido que se pusiera un aviso antes de enviar cualquier mensaje privado. El objetivo es ser totalmente transparentes con los usuarios en torno a este tema, y así se hizo. Se ha señalado que Mastodon es usado generalmente para la conversación pública y que si alguien quiere mantener una conversación privada con otra persona por ahora es mejor utilizar servicios optimizados para ello, como Signal o Keybase.
Si comparamos la privacidad en Mastodon y Twitter, ¿dónde están más seguros nuestros datos? “De cara al usuario, estaríamos al mismo nivel ahora mismo”, explica Sánchez Almeida, que también desaconseja utilizar mensajes privados en Mastodon.
Sin autoridad central pero con reglas comunes
Como hemos explicado en nuestra guía sobre Mastodon, estamos ante una red social cuya principal característica es ser descentralizada, es decir que no está controlada por una sola autoridad, empresa o servidor, sino que es una federación de servidores que ejecutan software libre. Son distintas comunidades o instancias que utilizan el mismo protocolo, por lo que pueden comunicarse entre sí aunque las personas sólo se hayan registrado en una de ellas.
En este sentido se le compara con el protocolo que usa el email: tú puedes mandar emails a personas que utilicen proveedores de email diferentes al tuyo, sin tener que abrir otra cuenta de email en cada uno de esos servicios.
Esto implica que en Mastodon no hay un registro central que tenga los datos de todos los usuarios, sino distintas comunidades independientes y autónomas llamadas instancias. Imaginemos diferentes aldeas dentro de una gran región: cada una tiene su alcalde, sus leyes y una cultura particular en la que deciden prohibir ciertos comportamientos o no.
Mastodon, su privacidad y el RGPD
Carlos Sánchez Almeida afirma que la ley de protección de datos europea es aplicable a Mastodon, aunque dice que aún debaten qué es jurídicamente: un servicio de comunicaciones electrónicas, un servicio de la sociedad de la información, un servicio para compartir contenidos en línea o ninguno.
Con esto ha hecho una encuesta entre sus seguidores. Mastodon, dice, “tiene una naturaleza jurídica mixta, pero en beneficio de la libertad de expresión me inclino por servicio de la sociedad de la información”. Considerarlo de esta manera protege más a las instancias jurídicamente.
Otra normativa de la Unión Europea que regula a Mastodon es la Ley de Servicios Digitales (DSA) o a nivel nacional, la Ley Iceta, la nueva ley de derechos de autor. Pero según Sánchez Almeida estas leyes están pensadas para obligar a plataformas de muy gran volumen, 45 millones de usuarios o el 10% de los consumidores europeos (450 millones actuales) en el caso de la DSA. En el caso de la Ley Iceta, la responsabilidad se fija por facturación y tamaño… “está pensada para YouTube”, señala.
Usuarios y administradores de instancias, responsables según DSA
Por lo tanto, si entendemos que Mastodon es un prestador de servicios de la sociedad de la información, la responsabilidad será del usuario por los contenidos que publique, a menos que haya un conocimiento efectivo del ilícito por parte del administrador y se niegue a retirarlo.
En teoría hay tantas condiciones legales como cada una de sus 7.700 instancias, ya que cada una tiene sus reglas y sus administradores, que fijan esas condiciones de uso. Pero la realidad es que una de las instancias destaca en cantidad de usuarios sobre el resto: la que gestiona Eugen Rochko, el creador de Mastodon, que se aloja en mastodon.social y que en el momento de escribir estas líneas cuenta más de 879.000 usuarios, cuando la siguiente, mas.to, no llega a 130.000.
¿Quién sería el responsable último? Eugene Rochko podría serlo sólo de su instancia en cuanto administrador, pero no del resto, ya que en las condiciones del software que ha creado ha previsto que cada instancia sea autónoma e independiente, y él no tiene poder efectivo sobre ellas.
La instancia de Rochko ha sido tomada como ejemplo, y las condiciones legales que estableció han sido copiadas en general por el resto de instancias, en especial la Política de Privacidad.
La Política de Privacidad de Mastodon
La política de privacidad de mastodon.social indica el tipo de datos que conserva: en primer lugar los datos básicos para crear la cuenta (nombre de usuario, email y contraseña). El usuario además puede agregar opcionalmente información adicional a su perfil como nombre, biografía, e imágenes de avatar y cabecera. Estos datos son públicos, de la misma manera que las entradas y las listas de seguidos o seguidores (siempre que el usuario así lo haya decidido en sus Preferencias). Los registros de sesión del usuario se guardan y pueden ser revocados por el usuario en cualquier momento en sus Preferencias. La última IP utilizada es guardada durante 12 meses.
Mastodon indica que no comercia ni comparte los datos con más que los proveedores necesarios para prestar el servicio, o cuando lo exija la ley. La web sólo usa una cookie de sesión.
- Carlos Sánchez Almeida, abogado especializado en derechos digitales
- Mastodon Instances
- EFF, Is Mastodon private and secure?
- Platformer, The secret history of encrypted DMs on Twitter
- Post de Mastodon Users 23 nov 2022, 18:00
- GitHub, Clarify that DMs can be read by instance owners #18079
- Foro Hacker News
- The Verge, Twitter is making DMs encrypted and adding video, voice chat, per Elon Musk
- Seguridad a pesar del cifrado: el riesgo de las puertas traseras en la UE
- Guía rápida para empezar a usar Mastodon
