Desde las 8:40 p.m. ET del martes 15 de abril, Bluesky lleva varios días luchando contra interrupciones de servicio provocadas por un ataque de denegación de servicio distribuido. La COO Rose Wang confirmó públicamente que un ataque DDoS sofisticado es el responsable de los fallos intermitentes que afectan feeds, notificaciones, búsquedas e hilos. Para los millones de usuarios que migraron a Bluesky como alternativa a X en los últimos meses, esto llega en el peor momento posible.
Qué ha pasado exactamente
El miércoles 16 de abril, Bluesky comenzó a reportar interrupciones generalizadas en su aplicación y su web. Los errores más frecuentes mostraban mensajes como «Este feed está recibiendo un tráfico muy alto y está temporalmente fuera de línea», afectando especialmente a secciones de alto tráfico como el feed Discover o los perfiles verificados de mayor audiencia. El equipo trabajó durante toda la noche para contener el ataque sin llegar a resolverlo completamente.
El ingeniero de protocolo Bryan Newbold lo dejó por escrito a las 3:46 a.m. ET del miércoles: los servidores de Bluesky estaban «recibiendo bastante presión esa noche». No era una hipérbole. La compañía prometió ofrecer una actualización de estado detallada a la 1 p.m. ET del viernes, pero incluso su propia página de estado experimentó fallos durante el incidente, lo que dificultó que los usuarios pudieran saber en tiempo real qué estaba pasando.
La buena noticia, si es que hay alguna, es que Bluesky confirmó que no se detectó acceso no autorizado a datos privados. El ataque parece orientado a saturar la infraestructura y degradar el servicio, no a comprometer cuentas o información personal. Aun así, la inestabilidad se prolongó durante días, con caídas intermitentes que hacían la plataforma prácticamente inutilizable en ciertos momentos.
Lo más llamativo del incidente es el efecto colateral en las migraciones. Según TechCrunch, se registró un aumento significativo en las solicitudes de traslado desde Bluesky hacia otras plataformas durante los días de mayor inestabilidad. Parte de los usuarios que llegaron huyendo de X ahora contemplaban irse también de Bluesky, lo que dice mucho sobre la fragilidad de la fidelidad en redes sociales alternativas.
Por qué esto importa ahora
Bluesky no es una red social más. Nació del propio Jack Dorsey y fue durante meses el refugio preferido de quienes abandonaban X como protesta por la gestión de Elon Musk. El Guardian anunció que dejaría de publicar en X. Cientos de miles de usuarios europeos y españoles hicieron la misma transición. Bluesky llegó a superar los 20 millones de usuarios registrados tras las oleadas de migración de finales de 2024 y principios de 2025. Todo ese capital de confianza se construyó sobre una promesa: que había una alternativa seria y estable.
Un ataque DDoS de esta magnitud, sostenido durante más de 48 horas, pone en evidencia que esa infraestructura todavía tiene puntos débiles importantes. Otras redes sociales consolidadas, como Mastodon o incluso la propia X, también han sufrido ataques similares, pero lo que diferencia a Bluesky es que su crecimiento reciente es muy dependiente de la percepción de ser una opción mejor. Cualquier interrupción prolongada alimenta la narrativa de que no está lista para competir a ese nivel.
El caso de Blacksky es revelador en este contexto. Esta comunidad construida sobre el protocolo AT de Bluesky, pero con infraestructura propia e independiente, funcionó sin interrupciones durante todo el incidente. Es la demostración práctica de que la arquitectura descentralizada del protocolo puede sobrevivir a fallos del nodo central, aunque la mayoría de usuarios no saben cómo ni tienen motivos para aprovechar esa capacidad.
Qué dicen los que saben
Lo interesante del ataque es que se describe como «sofisticado», un término que la propia compañía usó en sus comunicados. En la jerga de seguridad, un DDoS sofisticado no es el típico bombardeo de peticiones desde una botnet básica. Implica técnicas de amplificación, rotación de IPs o ataques a capas específicas de la aplicación que son más difíciles de mitigar con soluciones estándar. Que el equipo tardara más de 48 horas en contenerlo sugiere que no fue trivial, y que probablemente requirió la colaboración de proveedores externos de mitigación.
En Hacker News, el debate sobre el incidente derivó rápidamente hacia una pregunta más estructural: si Bluesky tiene futuro real más allá de 2026. La crítica principal no es técnica sino económica. La plataforma carece de un modelo de monetización claro y visible, sus casos de uso más allá de la red social no están despegando, y un ataque como este añade costes operativos no planificados. No es que Bluesky vaya a cerrar mañana, pero la pregunta de sostenibilidad a largo plazo está más presente que nunca entre quienes siguen de cerca el proyecto.
Lo que nadie te está contando
El verdadero problema no es el ataque en sí. Es lo que revela sobre la arquitectura de Bluesky en la práctica. El protocolo AT, sobre el que está construida la plataforma, fue diseñado precisamente para evitar dependencias centralizadas. En teoría, si los servidores de Bluesky caen, el ecosistema debería seguir funcionando a través de nodos alternativos. En la práctica, la inmensa mayoría de los usuarios dependen exclusivamente de la infraestructura oficial de Bluesky, porque configurar un servidor propio o migrar a un proveedor alternativo es algo que solo hace una minoría técnica. El caso de Blacksky es la excepción que confirma la regla.
Hay otro ángulo que conviene no perder de vista: quién tiene motivos para lanzar un ataque así y por qué ahora. Bluesky se ha convertido en los últimos meses en una plataforma con peso político y mediático real, especialmente en comunidades periodísticas, académicas y de activismo digital. Atacarla en un momento de alta actividad informativa no parece aleatorio, aunque sería especulativo señalar a un responsable sin evidencias. Lo que sí es cierto es que este tipo de ataques son cada vez más frecuentes contra plataformas que se posicionan como alternativas descentralizadas, y que Bluesky tendrá que invertir de forma seria en mitigación si quiere mantener la credibilidad que le ha costado tanto construir.
Qué esperar a partir de ahora
Bluesky tiene que resolver dos problemas en paralelo: el técnico, reforzando su capacidad de mitigación ante futuros ataques, y el de confianza, que es más lento de reparar. Si los próximos meses traen más episodios similares, el goteo de usuarios hacia otras plataformas podría convertirse en algo más serio. La pregunta que queda en el aire es si la promesa descentralizada del protocolo AT acabará siendo un salvavidas real o solo un argumento de marketing que muy poca gente sabe utilizar.
