Seguridad y privacidad en Mastodon: lo que necesitas saber
Mastodon tiene fama de ser más privado que Twitter o Instagram. En parte es verdad. Pero «más privado» tiene matices que vale la pena entender antes de publicar cosas asumiendo una protección que quizá no existe del todo. Esta guía explica quién ve lo que publicas, qué datos guarda tu instancia y qué puedes hacer para proteger tu cuenta.
Si todavía estás orientándote en el ecosistema, la guía central de Mastodon y el Fediverso cubre desde qué es una instancia hasta cómo encontrar gente. Y si quieres una versión más resumida de estos conceptos, también está la guía breve de privacidad en Mastodon.
Quién puede ver lo que publicas
Depende del nivel de visibilidad que elijas al publicar. Los toots públicos son accesibles para cualquiera con un navegador, sin necesidad de cuenta, y pueden aparecer en búsquedas y ser indexados por buscadores si tu instancia lo permite. Los no listados son accesibles con el enlace directo pero no aparecen en timelines públicos ni en resultados de búsqueda.
Los toots solo para seguidores solo los ven las personas que te siguen y has aceptado. Los mencionados son mensajes directos: solo los ven las cuentas que aparecen en el toot.
Ninguno de estos niveles cifra el contenido de extremo a extremo. El administrador de tu instancia puede leer cualquier publicación, incluidos los mensajes directos. Mastodon no es un mensajero privado.
Visibilidad y sus límites reales
El nivel «solo seguidores» depende de un supuesto: que controlas quién te sigue. Si tienes la cuenta abierta, ese nivel de protección es limitado. Activar la aprobación manual de seguidores desde Preferencias → Perfil → Cuenta privada cierra ese hueco.
Los mensajes directos en Mastodon funcionan como toots con visibilidad restringida y aparecen en la misma base de datos que el resto del contenido. Para conversaciones que necesitan privacidad real hay mejores herramientas: Signal, Matrix o cualquier mensajería con cifrado de extremo a extremo.
Activar la aprobación manual de seguidores es la medida individual más útil si publicas contenido que no quieres que vea cualquiera. Se puede cambiar en cualquier momento sin perder seguidores actuales.
Tu admin y tus datos
Al registrarte en una instancia Mastodon estás confiando en quien administra ese servidor. Esa persona tiene acceso técnico a tu dirección de correo, tu contraseña hasheada, tus toots —incluidos los privados— y los metadatos de tu actividad.
Esto no es específico de Mastodon: cualquier servicio web al que te registras implica el mismo nivel de confianza. La diferencia aquí es que hay transparencia sobre quién es esa persona y qué política de privacidad tiene la instancia. Mirar la página «Acerca de» antes de registrarte da mucha información: quién administra, cómo se financia y qué compromisos adquiere con sus usuarios.
Qué guarda tu instancia
Dirección de correo, contraseña hasheada, IP de acceso, toots, mensajes directos, lista de seguidores y seguidos, favoritos y filtros.
Qué no guarda (normalmente)
Contraseñas en texto plano, datos de pago (Mastodon no tiene), ni historial de navegación externo a la plataforma.
Buenas señales en una instancia
Política de privacidad publicada, admin identificable, historial de comunicación con usuarios y financiación transparente (OpenCollective, Patreon, etc.).
Señales de alerta
Sin página «Acerca de», admin anónimo sin historial, sin política de privacidad o instancia sin actualizaciones en meses.
Federación y copias remotas
Cuando publicas un toot público, tu instancia envía una copia a todos los servidores que tienen usuarios que te siguen. Esas copias viven en servidores ajenos que no controlas. Si borras el toot original, tu instancia envía una petición de borrado al resto de instancias, pero no todos los servidores la procesan igual de rápido, y algunos pueden no hacerlo nunca.
Esto no es un defecto de Mastodon: es cómo funciona la federación distribuida. La consecuencia práctica es que los toots públicos deben tratarse como permanentes en la misma medida que cualquier publicación en internet.
Los toots «solo para seguidores» también se federan a las instancias de tus seguidores, aunque con la marca de privacidad correspondiente. El admin de esas instancias remotas tiene el mismo acceso técnico que el tuyo.
Proteger tu cuenta
Las medidas básicas son las mismas que en cualquier servicio online, pero vale la pena repasarlas porque Mastodon no tiene recuperación de cuenta tan automatizada como las grandes plataformas.
Contraseña única y robusta
Usa una contraseña que no uses en ningún otro sitio. Un gestor de contraseñas (Bitwarden, KeePassXC) hace esto fácil y elimina la necesidad de recordarla.
Autenticación en dos pasos (2FA)
Mastodon soporta TOTP (Aegis, Google Authenticator, etc.). Actívalo desde Preferencias → Cuenta → Autenticación de dos factores. Guarda los códigos de respaldo en un lugar seguro.
Aplicaciones autorizadas
Revisa periódicamente qué apps tienen acceso a tu cuenta desde Preferencias → Aplicaciones autorizadas. Revoca las que ya no uses.
Correo de recuperación
Asegúrate de tener acceso al correo con el que te registraste. Si pierdes la contraseña y ese correo, recuperar la cuenta depende del admin.
Borrar contenido
Puedes borrar cualquier toot tuyo desde la interfaz. Para limpiar publicaciones antiguas de forma automática hay herramientas como Forget, que borra toots según criterios que defines tú: antigüedad, número de favoritos o boosts. La sección de herramientas para Mastodon tiene más opciones de este tipo.
Como se explicó antes, el borrado en instancias remotas no está garantizado. En la práctica, la mayoría de instancias bien mantenidas procesan las peticiones de borrado en minutos.
Migrar a otra instancia o salir del Fediverso
Mastodon tiene herramientas de portabilidad reales. Desde Preferencias → Cuenta → Exportar puedes descargar tu lista de seguidos, seguidores, listas, filtros, marcadores y toots.
Para migrar a otra instancia: crea la cuenta nueva primero, luego ve a Preferencias → Cuenta → Mover a una cuenta diferente. Tus seguidores se mueven automáticamente. El historial de toots no migra —se queda en la instancia original— pero los seguidores y seguidos sí.
Para cerrar la cuenta por completo, exporta primero lo que necesites y luego usa Preferencias → Cuenta → Eliminar cuenta. El proceso es definitivo.
Exportar los datos antes de cualquier cambio importante es siempre buena idea, aunque no vayas a cerrar la cuenta. El archivo de seguidos sirve para reconstruir tu red rápidamente si alguna vez cambias de instancia.
Si todavía estás orientándote en el ecosistema, la guía central de Mastodon y el Fediverso tiene todo enlazado desde un mismo sitio.
Una instancia en español con administración visible
TuiterRocks es una instancia pequeña, con servidores propios y una persona real detrás. Cuando algo cambia, se explica. El registro está abierto.
Si valoras espacios pequeños y cuidados
Apoyo económico
Para mantener los servidores funcionando y seguir creando contenido libre y sin anuncios.
Hacer una donaciónApoyo gratuito
Comparte, recomienda y ayuda a otras personas a entrar en el Fediverso. Eso también vale mucho.
Entrar en TuiterRocks
Una instancia en español, pequeña a propósito, con registro abierto.
Crear cuenta