Dado que Session es una bifurcación de Signal, heredó la sólida seguridad de Signal. A partir de ahí, el equipo de Session construyó un sistema anónimo y descentralizado que proporciona una privacidad y un anonimato superiores a sus usuarios. ¿Estás listo para saber más sobre este aspirante al trono de la mejor aplicación de mensajería segura y privada? Entonces vamos a sumergirnos en esta reseña de Session.
Conceptos básicos de Session.
Detrás de escena, Session es fundamentalmente diferente a la mayoría de los otros servicios de mensajería segura. Para que el resto de esta reseña de Session sea más fácil de entender, necesitamos repasar algunos conceptos básicos ahora.
Las conversaciones en Session están protegidas mediante cifrado E2E del lado del cliente. Sólo el remitente y el destinatario de un mensaje pueden leerlo. Pero Session va más allá de la seguridad de los mensajes. Session también protege la identidad de sus usuarios. Hace que sus comunicaciones sean privadas y anónimas, además de seguras.
Session puede hacer esto porque conecta a los usuarios a través de una red similar a Tor de miles de Nodos de Servicio. Los Nodos de Servicio son servidores que transmiten mensajes de un lado a otro de la red y proporcionan servicios adicionales. El sistema de petición de cebolla que Session utiliza para proteger los mensajes garantiza que ningún Nodo de Servicio de la red conozca nunca el origen (su dirección IP) y el destino (la dirección IP del destinatario) de un mensaje. Esto te permite ocultar tu IP por defecto.
Session toma una serie de medidas adicionales para proteger tu identidad:
No se requiere número de teléfono para registrarse
No se requiere correo electrónico para el registro
No se recopilan datos de geolocalización, datos del dispositivo ni metadatos.
Los nodos de servicio se agrupan en enjambres. Los enjambres proporcionan redundancia a la red, así como almacenamiento temporal cuando los mensajes no pueden ser entregados a su destino. Cada cliente Session se conecta a un enjambre para enviar y recibir mensajes en tiempo real, así como para recuperar mensajes relevantes que están almacenados en el enjambre a la espera de ser entregados.
Verás que aquí no hemos hablado de ningún tipo de servidor central. La red Session está descentralizada, sin un único punto de fallo y sin un servidor principal que los malos puedan piratear. Session mueve los mensajes utilizando un sistema de enrutamiento cebolla.
En un sistema de enrutamiento cebolla, los mensajes están rodeados de múltiples capas de cifrado y pasan a través de múltiples nodos en el sistema. Cada nodo descifra una capa de cifrado antes de transmitir el mensaje. Debido a la forma en que se cifran los mensajes, ningún nodo puede conocer tanto el origen del mensaje como su destino. Además, tu dirección IP nunca es visible en el destino, lo que significa que quienquiera que sea tu interlocutor no tiene forma de identificarte cuando utilizas Session. El servicio Session debería ser muy resistente y seguir funcionando aunque algunos nodos de servicio se unan a la red o la abandonen.
El sistema de enrutamiento cebolla de Session se ejecuta en la red de nodos de servicio Oxen. Esta red (antes conocida como Lokinet) también forma parte de la infraestructura de la criptomoneda $OXEN. Puede obtener más información sobre OXEN en el sitio web Oxen.io.
Aunque Session maneja muy bien las funciones básicas de mensajería, no tiene algunas de las características que sí tienen competidores como Signal o Telegram. Todavía no hace llamadas de voz o vídeo, entre otras cosas. Si necesitas esas funciones específicas, puede que quieras buscar otra aplicación de mensajería.
Estos son los pros y los contras que hemos identificado en esta revisión de Session:
+ Pros
El cifrado de extremo a extremo (E2E) protege los mensajes de texto y de voz, así como los archivos adjuntos.
Cifrado: Protocolo de sesión
No requiere número de teléfono ni dirección de correo electrónico para registrarse
Código abierto
El sistema de enrutamiento cebolla proporciona descentralización y anonimato
No registra direcciones IP ni metadatos
Grupos cerrados cifrados (ahora hasta 100 personas) y grupos abiertos (sin límite de tamaño)
Se ha completado con éxito la auditoría del código de seguridad de las aplicaciones de escritorio, Android e iOS.
- Desventajas
No admite 2FA (autenticación de dos factores)
Sincronización multidispositivo rediseñada (beta temprana)
Se ha eliminado Perfect Forward Secrecy
Importante: El hecho de que Session no recopile metadatos es una gran ventaja. Consideramos que el problema de los metadatos es el talón de Aquiles de muchos servicios de mensajería y correo electrónico seguros. Incluso los servicios de correo electrónico seguro más populares, como ProtonMail, no tienen una buena solución al problema de los metadatos.
Ahora examinaremos las características clave del servicio de mensajería Session.
Resumen de las características de Session.
Estas son las características que querrás tener en cuenta cuando evalúes Session:
Utiliza el Protocolo de Sesión inspirado en Signal, sobre un sistema de enrutamiento de cebolla distribuido para una comunicación anónima y descentralizada.
Código 100% abierto (el código está disponible en GitHub).
Clientes para Android, iOS, macOS, Windows y Linux.
El sistema es mucho más estable tras varios meses de rediseño y refactorización.
Información sobre la empresa Session.
Session es un proyecto de la Fundación Loki. La Fundación Loki (registrada como LAG Foundation, LTD) es una fundación benéfica registrada con sede en Victoria, Australia. La fundación declara que su propósito es, "...construir herramientas y aplicaciones de comunicación de código abierto y libres de metadatos que defiendan la privacidad en el mundo digital".
Nota: Los productos Loki cambian su nombre por el de Oxen. Es probable que durante un largo periodo de tiempo Loki y Oxen se utilicen indistintamente.
¿Dónde se almacenan los datos de tu sesión?
Los mensajes que se le envían en realidad se envían a su enjambre. Los mensajes se almacenan temporalmente en múltiples Nodos de Servicio dentro del enjambre para proporcionar redundancia. Una vez que su dispositivo recoge los mensajes del enjambre, se borran automáticamente de los Nodos de Servicio que los almacenaban temporalmente.
Nota: Esto no es lo mismo que una arquitectura peer-to-peer. Consulte las preguntas frecuentes sobre Session aquí,
Los clientes de Session no actúan como nodos en la red, y no retransmiten ni almacenan mensajes para la red. La arquitectura de red de Session se asemeja más a un modelo cliente-servidor, en el que la aplicación Session actúa como cliente y el enjambre de nodos de servicio como servidor. La arquitectura cliente-servidor de Session permite una mensajería asíncrona más sencilla (mensajería cuando una de las partes está desconectada) y la ofuscación de direcciones IP basada en enrutamiento cebolla, en relación con las arquitecturas de red peer-to-peer.
Pruebas y auditorías de Session por parte de terceros.
Session utiliza actualmente su red onion routing. El año pasado, Quarkslab encargó una auditoría de seguridad de las aplicaciones Session Desktop, Android e iOS. La auditoría ha concluido y ofrece buenas noticias para Session y sus usuarios. El informe de la auditoría concluye en parte con lo siguiente:
Oxen Session mejora realmente la privacidad y la resistencia de la señal utilizando una red superpuesta a la solución de mensajería instantánea con cifrado de extremo a extremo existente. Los mecanismos de onion-routing hacen uso de los Snodes de Oxen para almacenar e intercambiar mensajes. Sin embargo, hay otros servicios web estándar centralizados que se siguen utilizando a través de la red superpuesta (para el servicio push y para entregar archivos adjuntos). Todos los problemas importantes se han solucionado rápidamente.
Auditoría de Quarkslab Oxen Session, informe técnico
Session es ahora adecuada para su uso en casos en los que la seguridad probada y verificada de forma independiente es un requisito previo.
¿Hasta qué punto es segura y privada la Sesión?
Una vez que la Sesión está completa y totalmente desarrollada, debería ser súper segura, extremadamente privada, anónima y, en general, excelente. Sin embargo, no está claro hasta qué punto el producto está realmente completo.
El sistema de enrutamiento cebolla ya es funcional, lo que supone un gran impulso para la seguridad y la privacidad. Y la auditoría de seguridad de Quarkslab muestra que las aplicaciones de escritorio, Android e iOS son seguras.
Preocupación por Australia y la seguridad de los datos.
En cuanto a la privacidad y la seguridad de tus datos, debemos hablar de la sede de Session. Como se ha indicado anteriormente, Session tiene su sede en Australia. Desafortunadamente, Australia no es una jurisdicción perfecta para la privacidad por varias razones.
Como discutimos recientemente en nuestra guía sobre las mejores VPN para Australia, el país aprobó una ley para socavar el cifrado y la seguridad de los datos en 2018. Aquí tienes un resumen rápido de esta ley:
El Parlamento australiano aprobó el jueves un polémico proyecto de ley de cifrado para exigir a las empresas tecnológicas que proporcionen a las agencias policiales y de seguridad acceso a las comunicaciones cifradas. Los defensores de la privacidad, las empresas tecnológicas y otras empresas se habían opuesto firmemente al proyecto de ley, pero el gobierno del primer ministro Scott Morrison dijo que era necesario para frustrar a los delincuentes y terroristas que utilizan programas de mensajería cifrada para comunicarse.
En los círculos de protección de la intimidad, la "Ley de Asistencia y Acceso" se conoce a veces como la "ley anticifrado" por lo que permite. Esta ley afectaría fundamentalmente a las empresas que prestan servicios de comunicación cifrada, como Session, servicios VPN y otras empresas dedicadas a la privacidad. Este tema sigue suscitando críticas entre los defensores de la privacidad de todo el mundo.
Siguiendo el ejemplo de Australia, los reguladores estadounidenses también han propuesto obligar a las empresas tecnológicas a romper el cifrado, facilitando así la vigilancia.
La Fundación Loki, que está detrás de Session, abordó este espinoso asunto en una entrada de su blog:
Obviamente, nos quedamos aterrorizados cuando vimos por primera vez este proyecto de ley. No nos pasó desapercibida la posibilidad de que el proyecto se viera totalmente socavado por esta legislación. Habíamos empezado a considerar cómo podríamos establecer mecanismos de seguridad que permitieran a la gente detectar código malicioso inyectado en nuestro código base, o pagar a alguien externo a Loki para que inspeccionara regularmente los binarios que publicamos y se asegurara de que no filtran información adicional o no se ajustan al código base de alguna manera. Si recibiéramos un TCN [Aviso de Capacidad Técnica], no podríamos contárselo a nadie. Si estableciéramos algún tipo de sistema canario, podríamos ser encarcelados. Por lo tanto, cualquier sistema de seguridad que estableciéramos tendría que ser externo a Loki, y tendría que auditarnos regularmente para asegurarse de que no hemos sido comprometidos antes de que se emitiera un TCN.
En última instancia, la Fundación Loki cree que todavía pueden operar un servicio de mensajería seguro en este peligroso entorno legal. La entrada de su blog sobre el tema profundiza en los detalles técnicos y legales, que puedes investigar si tienes tiempo y ganas. Además, abordan la cuestión en la sección de preguntas frecuentes titulada "¿Supone un riesgo para Session la postura del gobierno australiano contra el cifrado?", así como en esta actualización de su entrada original en el blog.
Entonces, ¿están tus datos seguros con Session messenger?
Tengo mis dudas después de investigar el Proyecto de Ley de Telecomunicaciones y Otras Enmiendas Legales (Asistencia y Acceso) 2018, comúnmente conocido como el proyecto de ley AA o TOLA, pero puedes llegar a tus propias conclusiones.
Otros problemas de privacidad con Australia.
También vale la pena señalar que la legislación contra el cifrado no es el único problema de privacidad que aqueja a Australia. Considera esto:
Retención obligatoria de datos: en 2017, Australia implementó un marco obligatorio de retención de datos. Esto obliga a todos los proveedores de Internet y compañías telefónicas a almacenar datos de conexión para agencias gubernamentales durante dos años completos.
Five Eyes - También hemos señalado antes que Australia es miembro de la alianza de vigilancia Five Eyes. Esta alianza trabaja conjuntamente para recopilar y compartir datos de vigilancia masiva.
Y si crees que varias agencias no están explotando estas leyes para recopilar datos sobre los australianos, piénsalo de nuevo. He aquí un titular reciente de The Guardian:
Preguntas frecuentes sobre Session Messenger.
He aquí algunas preguntas que surgieron con frecuencia durante la investigación y redacción de esta actualización.
¿Es seguro Session messenger?
La auditoría de seguridad realizada recientemente por Quarkslab ha confirmado lo que creíamos desde hace tiempo: Session es seguro. Pero las acciones del gobierno australiano para eludir las protecciones de privacidad en prácticamente cualquier aplicación o servicio (no sólo Session) nos hace pensar que no se puede garantizar tu privacidad si utilizas Session.
¿Qué es el protocolo Session?
El protocolo Session es un nuevo protocolo de mensajería desarrollado por Session. El cambio del protocolo Signal al protocolo Session mantiene la seguridad de este último a la vez que proporciona características de privacidad/anonimato y descentralización. El resultado es un protocolo que funciona bien con la arquitectura única de Session.
Conclusión de la revisión de Session.
Session es un producto prometedor, pero tiene sus pros y sus contras. Una vez completado, debería ser tan seguro como Signal, incluso más privado que Signal y también anónimo. Sin embargo, aún persisten las dudas sobre Australia, la privacidad de los datos y la capacidad de la Fundación Loki para mantener la seguridad de los datos de los usuarios en este entorno.
Last edited by a moderator:
