Preguntas y respuestas: Cómo los planes de sesión superarán a Signal y Telegram

Solo un aviso: si compra algo a través de nuestros enlaces, es posible que obtengamos una pequeña parte de la venta. Es una de las formas en que mantenemos las luces encendidas aquí. Haga clic aquí para obtener más información.

A principios de esta semana, descubrimos Session, la aplicación de mensajería a la que no le importa quién eres, literalmente. Sin números de teléfono, sin servidores centrales y con enrutamiento tipo cebolla integrado, las grandes empresas tecnológicas no lo reconocerían si lo intentaran.

Oh, ¿mencioné que ya han acumulado más de un millón de usuarios sin gastar un solo centavo en publicidad? Aparentemente, la gente valora su privacidad y quiere un producto que cumpla esa promesa. ¿Quién lo habría pensado, verdad?

Ahora llevamos la conversación más allá. En nuestra exclusiva sesión de preguntas y respuestas, nos sentamos con el cofundador de Session, Kee Jefferys, para descubrir la inspiración detrás de la aplicación, la tecnología que la impulsa y los desafíos que han enfrentado.

Desde detalles de cifrado hasta cómo navegar por las regulaciones globales, esta entrevista lo cubre todo.

¿Es la mensajería que prioriza la privacidad el futuro? Lea las preguntas y respuestas completas para ver cómo lidera Session y sus actualizaciones planificadas para usuarios centrados en la privacidad.

Empieza a leer ahora

La sesión comenzó como una prueba de concepto construida sobre una red descentralizada llamada Loki Service Node Network. En aquel entonces, se conocía como “Loki Messenger” (más tarde rebautizado como Session).

La idea era simple: queríamos mostrar a los desarrolladores lo que era posible en la red descentralizada. Una aplicación de mensajería parecía el ejemplo perfecto porque si pudiéramos mostrar a las personas cómo almacenar y pasar mensajes, eso podría generalizarse a otras aplicaciones e inspirar la creatividad de los desarrolladores para crear sus propios proyectos.

Lo que no esperábamos era la rapidez con la que la comunidad se aferraría a Loki Messenger.

Casi desde el momento en que lo lanzamos, la gente pedía mejoras y nuevas funciones. Vieron lo que vimos nosotros: Loki Messenger tenía algo especial, algo que otras aplicaciones de mensajería no ofrecían.

Había tres cosas clave que lo diferenciaban:

• Sin números de teléfono : no necesitaba un número de teléfono para registrarse. Ese simple cambio hizo que los mensajes fueran más privados y anónimos.
• Sin servidores centralizados : al ejecutarse en una red descentralizada, no había ningún servidor que recopilara sus datos ni creara un honeypot para los piratas informáticos.
• Onion Routing integrado : el enrutamiento Onion ocultó las direcciones IP de los usuarios y aumentó aún más la privacidad.

Todo esto estaba empaquetado en una aplicación multiplataforma que era fácil de usar, lo que hacía que la privacidad fuera accesible para todos.

Desde los primeros días, Session se ha centrado en esos principios y recientemente Session superó el millón de usuarios activos mensuales.

Lo que comenzó como una prueba de concepto se ha convertido en una plataforma de mensajería que prioriza la privacidad y que realmente está marcando la diferencia y es algo en lo que estoy orgulloso de haber participado.

La sesión utiliza múltiples capas de cifrado al enviar y recibir mensajes. Cuando un usuario crea una cuenta de sesión, genera un par de claves pública-privada Ed25519 aleatorio.

La clave pública se convierte en el ID de cuenta del usuario, que se puede compartir fuera de banda mediante un código QR o una cadena de números y letras de 66 caracteres. Una vez que tenga el ID de cuenta de alguien, puede firmar y cifrar mensajes para ese usuario específico.

Para enviar un mensaje válido en un chat individual, el remitente comienza creando el mensaje. El mensaje se firma utilizando la clave privada Ed25519 del remitente, siguiendo el algoritmo de firma Ed25519.

Este paso garantiza la autenticidad del mensaje. Luego se adjuntan al mensaje la clave pública Ed25519 del remitente y la firma digital.

A continuación, el remitente genera un par de claves efímeras X25519. Este par de claves temporales, junto con la clave pública X25519 del destinatario, se utiliza para crear una clave de cifrado simétrica compartida.

Utilizando esta clave, el mensaje se cifra con el algoritmo XSalsa20-Poly1305, garantizando tanto la confidencialidad como la integridad.

El mensaje cifrado y los metadatos relacionados, como la clave pública X25519 del destinatario y la clave pública efímera X25519 del remitente, se empaquetan en un sobre. Luego, este sobre se cifra nuevamente para una entrega segura utilizando el protocolo de enrutamiento cebolla de Session, Onion Requests.

El proceso de enrutamiento cebolla implica cifrar el sobre tres veces, una por cada salto en la ruta de la red. Cada capa de cifrado se basa en claves simétricas derivadas de las claves Ed25519 de cada salto y cifradas con AES o XChaCha20-Poly1305.

El sobre con triple cifrado se envía al primer salto y cada salto posterior elimina una capa de cifrado, revelando el siguiente destino hasta que el sobre llega al enjambre del destinatario. Una vez que el sobre llega al enjambre del destinatario, este lo recupera y lo descifra para recuperar el mensaje.

El protocolo de cifrado de sesión proporciona cifrado de extremo a extremo y un alto nivel de privacidad de metadatos para cada mensaje enviado.

A pesar de la sofisticada tecnología detrás de escena, los usuarios no necesitan preocuparse por la complejidad. Pueden simplemente enviar y recibir mensajes como lo harían con cualquier otra aplicación, mientras se benefician del alto nivel de privacidad y seguridad de Session.

La sesión es completamente de código abierto. Esto incluye todas las aplicaciones cliente, incluidas Session iOS, Android y Desktop, así como todo el software que alimenta la red descentralizada de nodos que almacena y enruta mensajes.

El código fuente está disponible públicamente en GitHub en https://github.com/session-foundation

Para implementar una puerta trasera en la aplicación, los desarrolladores malintencionados necesitarían enviar cambios de código a estos repositorios y crear una nueva versión. Estos cambios no pasarían desapercibidos para la comunidad de Session ni para sus contribuyentes.

Si esto sucediera, los repositorios podrían separarse fácilmente del desarrollador malicioso y la aplicación podría volver a implementarse sin el código dañino.

Session también se ha sometido a auditorías de terceros independientes para garantizar su seguridad e integridad. Quarkslab realizó una de esas auditorías y sus conclusiones se hicieron públicas. Puedes revisar su informe aquí:

Esta apertura y transparencia dificulta que una puerta trasera o una vulnerabilidad se convierta en una versión.

El modelo a largo plazo para el desarrollo sostenible de Session implica la monetización a través de una versión premium de Session, llamada Session Pro.

Session Pro será un servicio de suscripción diseñado para usuarios avanzados, que ofrecerá funciones adicionales de manera similar a cómo Telegram Premium mejora la experiencia de los usuarios de Telegram.

Todas las suscripciones a Session Pro regresan al ecosistema de Session. Estos pagos ayudarán a sostener y hacer crecer la red de Session Node, asegurando su escalabilidad y confiabilidad a medida que la base de usuarios de Session continúa expandiéndose.

Es importante destacar que Session siempre mantendrá una versión gratuita que garantice el mismo alto nivel de privacidad para todos los usuarios. Este compromiso con la mensajería que prioriza la privacidad sigue siendo fundamental para la misión de Session.

Todo el crecimiento de Session hasta ahora ha sido completamente orgánico, impulsado en gran medida por recomendaciones de influyentes expertos en privacidad. Creo que este crecimiento se acelerará a medida que Session continúe posicionándose como una alternativa más segura a WhatsApp, Telegram y Signal. los equipos

Los que trabajan en Session tienen conexiones profundas en el espacio de las ONG y entre los líderes de opinión sobre privacidad, quienes continuarán abogando por Session a medida que la aplicación crezca y mejore sus características subyacentes.

Todavía queda trabajo por hacer en el aspecto técnico para mejorar la retención de usuarios.

Durante los próximos 6 a 12 meses, la atención se centrará en áreas clave como mejorar la funcionalidad del grupo, aumentar la velocidad y la confiabilidad y hacer que la incorporación sea lo más fluida posible. Esto incluye garantizar que los usuarios puedan conectarse fácilmente con amigos y familiares e invitar a nuevas personas a unirse a la aplicación.

Al abordar estos desafíos técnicos y al mismo tiempo mantener una fuerte defensa en el espacio de la privacidad, Session está bien posicionada para continuar su trayectoria ascendente como plataforma líder de mensajería centrada en la privacidad.

El panorama regulatorio en torno a la mensajería privada aún está surgiendo y diferentes países están adoptando enfoques diferentes para regular el cifrado de extremo a extremo y la privacidad de los datos.

Session anunció recientemente que la administración del proyecto se trasladaría fuera de Australia, del administrador original del proyecto (la OPTF) a la Session Technology Foundation, una fundación con sede en Suiza dedicada a promover la innovación digital y los derechos digitales.

Esta medida fue en gran medida una respuesta a la legislación reciente y a la presión de los reguladores australianos, que han hecho cada vez más difícil para Session operar fuera de Australia manteniendo las garantías de privacidad y seguridad que ofrece a sus usuarios.

A diferencia de Australia, Suiza tiene fuertes protecciones constitucionales que preservan la privacidad y una larga historia de apoyo a aplicaciones pro-privacidad como ProtonMail, Threema y Nym.

Por diseño, las empresas y las personas involucradas en el desarrollo de Session no tienen acceso privilegiado a los datos del usuario.

Los mensajes cifrados de extremo a extremo se almacenan y enrutan a través de una red de más de 2100 nodos operados por la comunidad. Este enfoque es fundamentalmente diferente de otras plataformas de mensajería.

Históricamente, este diseño ha significado que cuando se reciben solicitudes de datos, no hay información disponible para compartir con la parte solicitante. La OPTF, el administrador anterior del proyecto Session, publicó informes de transparencia periódicos para respaldar este hecho, que se pueden ver aquí.

A medida que la Session Technology Foundation asuma la gestión, continuará esta tradición, con informes de transparencia publicados aquí: https://session.foundation/transparency-reports

Ninguna de las empresas o personas involucradas en el desarrollo de Session ha recibido solicitudes para implementar puertas traseras en la aplicación.

La transferencia de la administración a la Session Technology Foundation, con sede en Suiza, es un paso proactivo para garantizar que Session pueda continuar protegiendo la privacidad y seguridad de sus usuarios.

La hoja de ruta actual de Session se centra en revisar las características clave para mejorar la confiabilidad y usabilidad en toda la aplicación. Estas son las principales áreas de enfoque:

Grupos : desde su lanzamiento en 2022, los grupos se han enfrentado a varios desafíos.

Los usuarios han informado que ocasionalmente pierden acceso a grupos cuando se rotan las claves de cifrado subyacentes, lo que ocurre cuando se eliminan miembros de un grupo.

Además, los mensajes pueden perderse cuando los usuarios se unen a un grupo o permanecen desconectados durante más de 14 días. Para abordar estos problemas, se está rediseñando completamente la arquitectura de los grupos para hacerlos más persistentes en la red de nodos y mejorar la confiabilidad durante las rotaciones de claves de cifrado.

Como parte de esta revisión, también se están implementando varias mejoras de usabilidad, incluida la compatibilidad con múltiples administradores en grupos, un nuevo sistema de invitación grupal y compatibilidad mejorada con notificaciones automáticas.

Estos cambios tienen como objetivo hacer que los grupos sean más confiables y fáciles de usar.

Incorporación : los usuarios sin conocimientos técnicos a veces han tenido problemas con el proceso de incorporación de Session.

Históricamente, Session introdujo conceptos complejos de gestión de claves privadas, como frases iniciales mnemotécnicas, al principio de la experiencia de incorporación. Esta complejidad a menudo generaba frustración y abandono durante el registro.

Una actualización reciente simplificó el proceso de incorporación al posponer estos conceptos avanzados hasta después de la creación de la cuenta. Este cambio ha mejorado la retención durante la incorporación.

Sin embargo, todavía hay margen de mejora.

Es probable que los planes futuros impliquen integrar claves de acceso para reducir aún más las barreras de entrada y simplificar el proceso de invitar a nuevos usuarios aprovechando los enlaces profundos.

Onion Routing : Poco después del lanzamiento de Session, se introdujeron Onion Requests como una implementación simplificada de un protocolo Onion Routing.

Si bien son efectivas para las necesidades básicas, las Onion Requests son un protocolo basado en HTTP sin transmisión y son inherentemente más lentas y menos capaces que los protocolos más avanzados.

Los mensajes suelen tardar entre 1 y 3 segundos en enviarse, mientras que la carga y descarga de archivos puede tardar mucho más. Además, las solicitudes Onion imponen un límite de 10 MB a los archivos, lo que limita la funcionalidad de Session para transferencias de archivos más grandes.

Para superar estas limitaciones, el equipo de Session ha estado desarrollando Lokinet, un protocolo de enrutamiento cebolla más avanzado. Lokinet admite conexiones basadas en transmisiones y está basado en UDP, lo que permite un rendimiento más rápido y flexible.

Lokinet se encuentra actualmente en una refactorización completa y se acerca a su madurez. Las pruebas internas muestran que Lokinet es entre 3 y 10 veces más rápido que Onion Requests, lo que significa que los tiempos de entrega de mensajes y transferencia de archivos podrían mejorar drásticamente una vez implementado. Además, Lokinet no impone las mismas limitaciones de tamaño de archivo, lo que allana el camino para cargas de archivos mucho más grandes en Session.

Un gran agradecimiento al cofundador de Session, Kee Jefferys, y al resto del equipo por tomarse el tiempo para abrir el telón sobre lo que hace funcionar su aplicación y por qué la privacidad es más importante que nunca.

Si está listo para llevar su juego de mensajería a un nivel superior (o diez), puede descargar Session gratis en App Store o Google Play, y también está disponible para PC, Mac y Linux. Échale un vistazo y descubre cómo se siente la verdadera privacidad.

¿Qué opinas de las posibles actualizaciones y desarrollos mencionados por el cofundador de Session? Comparta sus ideas en los comentarios a continuación .