Session es una aplicación de mensajería privada que protege tus metadatos, cifra tus comunicaciones y se asegura de que tus actividades de mensajería no dejen rastros digitales.
Las conversaciones están encriptadas de un extremo a otro, al igual que en la mayoría de los mensajeros privados. Sin embargo, cuando usas Session, las identidades de las personas que se comunican también están protegidas. Session mantiene tu comunicación privada, segura y anónima.
Cuando usas Session, tus mensajes se envían a sus destinos a través de una red de enrutamiento de cebolla descentralizada similar a Tor (con algunas diferencias clave), usando un sistema que se llama solicitudes de cebolla. Las solicitudes de cebolla protegen la privacidad del usuario al garantizar que ningún servidor sepa el origen y el destino de un mensaje. Para obtener más información sobre esto, consulta ¿Qué es una red de enrutamiento de cebolla?.
Session es de código abierto y se puede auditar de forma independiente en cualquier momento. Session es un proyecto de Oxen Privacy Tech Foundation, una organización sin fines de lucro cuya misión es brindar al mundo un mejor acceso a las tecnologías de privacidad digital.
Session también se ha sometido a una auditoría de seguridad por parte de Quarkslab, cuyos resultados se pueden encontrar aquí .
Session encripta tus mensajes usando el Protocolo de Session, un protocolo de encriptación de punta a punta de vanguardia construido sobre libsodium, una biblioteca criptográfica altamente auditada y ampliamente confiable.
No necesitas un número de teléfono móvil o un correo electrónico para crear una cuenta con Session. Tu nombre para mostrar puede ser tu nombre real, un alias o cualquier otra cosa que desees.
Session no recopila datos de geolocalización, metadatos ni ningún otro dato sobre el dispositivo o la red que está utilizando. En el lanzamiento, Session usó el enrutamiento proxy para asegurarse de que nadie pueda ver a quién estás enviando mensajes o el contenido de esos mensajes. Poco después del lanzamiento, Session se trasladó a nuestro sistema de enrutamiento de cebolla, llamado solicitudes de cebolla, para una protección adicional de la privacidad.
Es imposible que Session rastree las direcciones IP de los usuarios porque la aplicación usa solicitudes de cebolla para enviar mensajes. Debido a que Session no usa servidores centrales para enrutar mensajes de persona a persona, nadie sabe cuándo envía mensajes ni a quién se los envía. Session te permite enviar mensajes, no metadatos.
Session permite a los usuarios cifrar tu base de datos locales con un código PIN. Con esta función activada, no se puede acceder a tus mensajes sin conocer tu código PIN.
Frase de recuperación
Debido a que Session no tiene un servidor central que almacene información sobre tu identidad, no es posible restaurar tu cuenta usando el método tradicional de nombre de usuario y contraseña. Tu frase de recuperación es una semilla mnemotécnica que se puede utilizar para restaurar tu ID de Session existente en un nuevo dispositivo.
¡Asegúrate de guardarlo en un lugar seguro!
Tu frase de recuperación es como la clave maestra de tu ID de Session: es importante almacenarla de forma segura y asegurarse de que solo usted tenga acceso a ella. Aquí hay algunas opciones para mantener segura tu frase de recuperación:
- Escribe tu frase de recuperación en una hoja de papel, luego guárdela en un lugar seguro.
- Considera asegurar aún más tu frase de recuperación dividiéndola en secciones usando una técnica como Shamir’s Secret Sharing .
Recuerda: el orden de las palabras en tu frase de recuperación es crucial. Independientemente de cómo lo guardes, asegúrate de poder reconstruirlo en el mismo orden en que se proporcionó.
¿Cómo restauro usando mi frase de recuperación?
En el escritorio
- En la pantalla de inicio, haga clic en Iniciar Session y luego en Restaurar desde la frase de recuperación.
- Ingrese tu frase de recuperación en el cuadro de texto y selecciona un nuevo nombre para mostrar.
- Se recupera tu ID de Session.
En móvil
- En la pantalla de inicio, toca Continuar tu Session.
- Ingrese tu frase de recuperación en el cuadro de texto.
- Ingresa un nuevo nombre para mostrar y toca Continuar.
- Selecciona tu configuración de notificación push preferida y toca Continuar.
- Se recupera tu ID de Session.
Actualmente, tu frase de recuperación no puede restaurar tus contactos o mensajes. Para tu seguridad, tus contactos y mensajes se almacenan localmente, por lo que no se pueden recuperar una vez que los hayas eliminado.
¿Cómo realizo una copia de seguridad?
Aunque las copias de seguridad son una función planificada de Session, aún no se han implementado.
¿Cómo funcionan las notificaciones push en plataformas móviles? ¿Existe algún compromiso de privacidad?
Android. El cliente de Android de Session tiene dos opciones para las notificaciones: sondeo en segundo plano y Firebase Cloud Messaging.
Si eliges el método de sondeo en segundo plano, la aplicación Session se ejecuta en segundo plano y sondea periódicamente su enjambre en busca de nuevos mensajes. Si se encuentra un mensaje nuevo, se le presenta al usuario como una notificación local.
Si eliges Firebase Cloud Messaging (FCM), Session utilizará el servicio de notificaciones push de FCM de Google para enviar notificaciones push. La IP y la ID de tu dispositivo están expuestas a Google y a un servidor de notificaciones push. El servidor de notificaciones push también conoce tu ID de Session. Sin embargo, esto no significa mucho, porque Google ya conoce la IP e ID de tu dispositivo, y mientras mantengas tu ID de Session privada, el servidor de notificaciones push no puede hacer mucho con esa información. Ni Google ni la OPTF pueden ver el contenido de tus mensajes, con quién estás hablando o exactamente cuándo se reciben los mensajes.
iOS. En iOS, el usuario también tiene dos opciones, similares a Android: sondeo en segundo plano y Apple Push Notification Service (APN).
Si eliges el método de sondeo en segundo plano, la aplicación Session se ejecuta en segundo plano y sondea periódicamente su enjambre en busca de nuevos mensajes. Si se encuentra un mensaje nuevo, se le presenta al usuario como una notificación local.
Si se selecciona la opción APN, Session utilizará el servicio APN de Apple para enviar notificaciones automáticas. La IP y la ID de tu dispositivo están expuestas a Apple y al servidor de notificaciones push. El servidor de notificaciones push también conoce tu ID de Session. Sin embargo, esto no significa mucho, porque Apple ya conoce la IP e ID de tu dispositivo, y siempre que mantengas tu ID de Session en privado, el servidor de notificaciones push no puede hacer mucho con esa información. Ni Apple ni la OPTF pueden ver el contenido de tus mensajes, con quién estás hablando o exactamente cuándo se reciben los mensajes.
¿Cómo agrego un contacto?
En Android o iOS, toca el botón verde más en la parte inferior de la pantalla principal de Mensajes, luego toca el icono de burbuja de chat que aparece encima del botón más. Pega o escribe la ID de Session de tu contacto en el campo ID de Session, toca Siguiente y envía un mensaje a tu contacto. ¡Tan fácil como eso!
En las plataformas de escritorio, haz clic en Nueva Sesión en la pantalla principal de Mensajes, pega o escribe la ID de Session de tu contacto en el campo ID de Session, haz clic en Siguiente y envía un mensaje a tu contacto.
Nota: en el escritorio, también puedes agregar un contacto haciendo clic en Agregar contacto en la sección Contactos de la aplicación.
En el dispositivo móvil, puedes eliminar un contacto deslizando el dedo hacia la izquierda en el contacto en la lista de conversación y luego presionando Eliminar.
En el escritorio, puedes eliminar un contacto haciendo clic con el botón derecho en el contacto en la lista de conversación y luego haciendo clic en Eliminar contacto.
¿Cómo sé si la persona con la que estoy hablando es la persona con la que quiero hablar?
Uno de los retos con los sistemas de comunicaciones verdaderamente anónimas como de Session es que a veces se hace necesario verificar la identidad de la persona que está hablando! En casos como estos, es mejor utilizar un canal de comunicación secundario seguro para confirmar con la otra persona que ambos son quienes dicen ser.
Los Nodos de Servicio son los nodos operados por la comunidad que componen la Red Oxen. Actualmente hay más de 1.000 nodos en la red. Estos nodos de servicio son responsables de almacenar y enrutar tus mensajes de Session. Puede leer más sobre Service Nodes en la documentación de Service Node .
Cuando envías un mensaje, se envía al enjambre de tu destinatario. Un enjambre es un grupo de nodos de servicio de Oxen encargados de almacenar temporalmente mensajes para que el destinatario los recupere en un momento posterior.
¿Mis mensajes se almacenan en una cadena de bloques?
No, tus mensajes no se almacenan en una cadena de bloques. Los mensajes se almacenan en enjambres y se eliminan después de un período de tiempo fijo (llamado “tiempo de vida” o TTL).
Todos tus mensajes están cifrados y solo pueden descifrarse utilizando la clave privada que se almacena localmente en tu dispositivo.
Los nombres de usuario de Session son nombres alfanuméricos permanentes que se pueden comprar utilizando la criptomoneda anónima Oxen y adjuntarlos a un ID de Session. Si tienes un nombre de usuario de Session adjunto a tu ID de Session, otros podrán agregarlo a Session usando ese nombre, en lugar de tener que usar tu ID de Session completo. Los nombres de usuario hacen que agregar contactos sea rápido y conveniente.
Los nombres de usuario de ID de Session son nombres permanentes que se pueden comprar y adjuntar a un ID de Session. Una vez comprado y vinculado, puedes darles a otros tu nombre de usuario de identificación de Session y ellos pueden agregarlo a Session usando ese nombre, mucho más conveniente que tratar con una identificación de Session larga y complicada.
Los apodos de Session son los nombres que puede establecer usted mismo en Session cuando crea un ID de Session. Los apodos se pueden cambiar en cualquier momento, pero no puedes usar un apodo para agregar a alguien en Session.
Session puede enviar archivos, imágenes y otros archivos adjuntos de hasta 10 MB tanto en conversaciones de persona a persona como en chats grupales. De forma predeterminada, Session utiliza el servidor de archivos Oxen para el envío y almacenamiento de archivos adjuntos. El servidor de archivos Oxen es un servidor de archivos de código abierto administrado por Oxen Privacy Tech Foundation, los creadores de Session. Cuando envía un archivo adjunto, el archivo se cifra simétricamente en el dispositivo y luego se envía al servidor de archivos Oxen. Para enviar el archivo adjunto a un amigo, Session te envía un mensaje cifrado que contiene el enlace, además de la clave de descifrado del archivo. Esto asegura que Oxen File Server nunca pueda ver el contenido de los archivos que se cargan en él.
Además, Session usa enrutamiento proxy (que pronto será enrutamiento cebolla) para ocultar las direcciones IP de los usuarios al cargar o descargar archivos adjuntos del servidor de archivos Oxen. En el futuro, podrás configurar la aplicación Session para utilizar un servidor de archivos personalizado, como un servidor autohospedado o VPS (Servidor Privado Virtual), si prefieres no utilizar un servidor de archivos alojado por la OPTF.
Un enjambre es una colección de 5 a 7 nodos de servicio que son responsables del almacenamiento de mensajes para un rango predefinido de ID de Session. Los enjambres aseguran que tus mensajes se repliquen en varios servidores de la red para que si un nodo de servicio se desconecta, tus mensajes no se pierdan. Swarms hace que el backend de red descentralizado de Session sea mucho más robusto y tolerante a fallas.
Por el momento, Session usa solicitudes de cebolla. Sin embargo, esta solución solo admite algo llamado tráfico TCP (Protocolo de control de transmisión). TCP es un protocolo altamente confiable, pero también de alta latencia, lo que significa que el video y el chat de voz no son viables.
Una vez implementado Lokinet (ver ¿Qué es Lokinet? ), Será posible implementar video y chat de voz. Lokinet admite tráfico tanto TCP como UDP (Protocolo de datagramas de usuario). UDP es un protocolo liviano y sin conexión, lo que lo hace ideal para transmitir cosas como voz y video.
Grupos
Grupos cerrados
Los grupos cerrados son chats grupales cifrados de un extremo a otro. Hasta 100 personas pueden participar en un chat grupal cerrado. Los mensajes de grupo cerrado se almacenan en la red descentralizada de Session, sin utilizar ningún servidor central.
¿Qué son los grupos abiertos y cómo se comparan con los grupos cerrados?
La respuesta corta: los grupos abiertos no son tan privados como los mensajes de persona a persona o los grupos cerrados.
La respuesta larga: los grupos abiertos son grandes canales públicos donde los usuarios de la Session pueden reunirse y discutir lo que quieran. Los grupos abiertos, a diferencia de otros servicios en Session, son autohospedados y, por lo tanto, no están completamente descentralizados. Alguien tiene que ejecutar un servidor que almacene el historial de mensajes del grupo abierto. Además, debido a que los servidores de grupos abiertos pueden servir a miles de usuarios, los mensajes solo se cifran en tránsito al servidor en lugar de estar cifrados de un extremo a otro.
Para chats de grupos más pequeños con un mayor grado de privacidad, se anima a los usuarios a utilizar grupos cerrados. Puede obtener más información sobre grupos abiertos y grupos cerrados aquí.
Enrutamiento de cebolla
Una red de enrutamiento tipo cebolla es una red de nodos a través de los cuales los usuarios pueden enviar mensajes cifrados anónimos. Las redes Onion cifran los mensajes con varias capas de cifrado y luego los envían a través de varios nodos. Cada nodo ‘desenvuelve’ (descifra) una capa de cifrado, lo que significa que ningún nodo conoce el destino y el origen del mensaje. Session utiliza el enrutamiento de cebolla para garantizar que un servidor que recibe un mensaje nunca sepa la dirección IP del remitente.
El sistema de enrutamiento cebolla de Session, conocida como solicitudes cebolla, utiliza la red Oxen, que alimenta también el criptomoneda $OXEN ‘s. Visita Oxen.io para encontrar más información sobre la tecnología detrás del enrutamiento de cebolla de Session.
¿Qué es el enrutamiento proxy y en qué se diferencia del enrutamiento cebolla?
El enrutamiento proxy fue una solución de enrutamiento provisional que Session usó en el lanzamiento mientras se trabajaba ara implementar las solicitudes de cebolla. Cuando el enrutamiento proxy estaba en uso, en lugar de conectarse directamente a un nodo de servicio Oxen para enviar o recibir mensajes, los clientes de Session se conectaban a un nodo de servicio que luego se conectaba a un segundo nodo de servicio en nombre del cliente de Session. El primer nodo de servicio envía o solicita mensajes del segundo nodo en nombre del dispositivo móvil.
Este sistema de enrutamiento proxy aseguró que la dirección IP del dispositivo cliente nunca fuera conocida por el nodo de servicio que busca o envía los mensajes. Sin embargo, el enrutamiento proxy proporcionó una privacidad más débil que la del sistema de solicitud de cebolla que Session usa ahora. El enrutamiento proxy aún brindaba un alto nivel de seguridad para minimizar la fuga de metadatos en el ínterin. El sistema de enrutamiento proxy ahora ha sido reemplazado por solicitudes de cebolla.
¿Funciona Session cuando estoy usando una VPN?
¡Sí! No hay ninguna razón por la que Session no debería funcionar cuando está utilizando una VPN. La única diferencia es que tu proveedor de VPN se pondrá en contacto con la red del nodo de servicio en lugar de que tu cliente se conecte directamente.
Equipo
Oxen es el equipo de desarrollo detrás de Session. Oxen cuenta con el apoyo de la organización sin fines de lucro Oxen Privacy Tech Foundation. Oxen proporciona a los usuarios herramientas para interactuar en línea de forma anónima, descentralizada, segura y privada. Oxen construye y mantiene la pila de herramientas de privacidad y descentralización de Oxen, así como también construye y respalda la cadena de bloques de Oxen y el token de privacidad de $ OXEN.
¿Cuál es la diferencia entre Oxen Privacy Tech Foundation, Oxen y Oxen Network?
La Oxen Privacy Tech Foundation es la primera organización sin fines de lucro de tecnología de privacidad de Australia. La Fundación organiza y apoya una serie de iniciativas de tecnología de privacidad en todo el mundo y aquí mismo en Australia. Oxen es la iniciativa de desarrollo de OPTF, que crea y mantiene herramientas de privacidad para individuos y organizaciones. La Red Oxen es la red de infraestructura que soporta las herramientas de privacidad: el servicio de nodos de Oxen, la blockchain Oxen, y todas las herramientas que acompañan y software.
Asuntos legales
Como Session es un proyecto de la Oxen Privacy Tech Foundation, las órdenes judiciales estarían dirigidas a la Fundación.
La OPTF cumpliría con las órdenes judiciales legales. Sin embargo, la OPTF no pudo revelar las identidades de los usuarios; la Fundación simplemente no tiene acceso a los datos necesarios para hacerlo. La creación de ID de Session no usa ni requiere direcciones de correo electrónico ni números de teléfono. Los ID de Session (que son claves públicas) se registran, pero no existe un vínculo entre una clave pública y la identidad real de una persona, y debido a la red descentralizada de Session, tampoco hay forma de vincular un ID de Session a una dirección IP específica.
Lo máximo que la OPTF podría proporcionar, si se le obligara a hacerlo, sería información tangencial, como registros de acceso al sitio web getsession.org o estadísticas recopiladas por Apple App Store o Google Play Store.
Mi artículo anterior: Session Messenger. Revisión.
