En respuesta a C3PO y su amor por XMPP
Categorías: general
Desde el primer momento en el que escribí '¿Por qué no uso XMPP?', sabía que en algún momento tendría que hacer un artículo de respuesta a alguna dedicación en especial. Aunque esta vez me sorprendió porque no me lo esperaba de C3PO y cómo él menciona en su artículo, no me ha dejado opción y ahora procedo a realizar la debida respuesta.
Nota: Esto no pretende ser alguna especie de 'ataque' ni nada por el estilo. Pondré especialmente atención en el argumento y no en la persona para no desviar el contenido. Además, creo que me llevo bastante bien con C3PO y quiero seguir manteniendo esa conexión, aunque una cosa no tenga nada que ver con la otra.
Desde el principio leí que mi artículo era «polémico» nada de eso, fue centrado en las observaciones técnicas con su respectiva fundamentación, sacando pues, de lado mi perfil del Fediverso, el cual lo utilizo de manera sarcástica, lo uno difiere de lo otro, siempre he respetado el contenido de mi blog y a la hora de escribir intento efectuarlo de la forma más transparente posible.
En los primeros párrafos podemos leer algo como '¿Es SimpleX más privado y seguro que XMPP?' Y procede a confirmar lo que ya sabemos, es decir, en donde efectivamente SimpleX Chat pasa a ser una alternativa mucho más superior a XMPP, por más que tachen dicho protocolo de 'maduro', no significa que por estar desde 1999 denote que han estado haciendo todas las cosas bien, ni lo uno ni lo otro. Por un lado: tenemos a WhatsApp que prácticamente se deriva y beneficia de dicho protocolo y por el otro tenemos al XMPP que no se diseñó teniendo en cuenta los casos de uso modernos, sino que se fue adaptando a lo largo de décadas. Se puede ir leyendo en diferentes lados que XMPP a nivel interno, el proyecto es un poco decadente, sus desarrolladores no trabajan a tiempo completo en él y por supuesto el factor financiero no ha ido bien. Por ende se ha quedado tal cual donde está o bien, las especificaciones existen, pero no quién las haga realidad.
Referente a lo que agregó sobre conectar a XMPP por medio de Tor y ser aún más anónimo, no sé, desde el artículo raíz que genero todo esto explique muy bien el caso preciso de la red Tor y el protocolo XMPP, de que dicho equipo propiamente dejara de invertir en el desarrollo de dicha plataforma y pasara a recomendar otras mensajerías deja mucho que decir, por lo que, sin respaldo mismo del proyecto Tor la respuesta es evidente... sus exposiciones de metadatos sí que te puede matar (según su modelo de amenaza Sr. terrorista qué me lee desde Iran o Ucrania ja jal, es broma ) este tema fue explicado mejor en el artículo raíz entonces deben de leerlo para comprender esta parte ¡Ah! Y SimpleX Chat te da la opción de conectar por medio de la red Tor, por medio de Socks5 y demás, entonces siguen siendo plus maravilloso.
Referente a las ventajas y características de SimpleX Chat, no puedo agregar cosas nuevas más de las que he agregado en su momento cuando escribí uno de los artículos más completos que hay en español donde cubro dicha mensajería para darla a conocer. Ahora, para quienes no leyeron el artículo, puedo resumirlo todo en pocas palabras: SIEMPRE puedes permanecer incógnito, si tú no das tu perfil principal puedes conectar múltiples veces al mismo grupo, con la misma persona, te pueden contactar y demás, todo bajo un perfil aleatorio (y bajo diferentes formas, sea por Tor o proxy), uno del cual te puedes deshacer con dos clics (o pulsaciones en el móvil). Entonces, qué te 'comprometan' un perfil no será la gran cosa y para llegar a ti, obviamente, necesitarán previamente tu enlace que serás tú quien lo proporcione. Este tipo de características es lo que hace que SimpleX Chat sea segura por diseño con conocimiento 0 y su auditoría de seguridad confirma los buenos datos ¿Qué aún falta ver cómo evoluciona y se comporta con grandes flujos de personas? Sí, y respectivamente, tengo planeada una entrevista con su autor para responder a todas esas dudas pendientes.
En SimpleX Chat no hay forma de que haya ataques MITM y todo lo demás en cuanto a su arquitectura esa toda documentada, no es difícil leer página por página para entender cómo se compone la red y sus servicios, con XMPP requieres de una identidad global (nombre de usuario) y es dependiente del DNS (Direcciones basadas en DNS) con Simple NO. Si la documentación fuera difícil de encontrar o no existiera, hombre, todo sería muy sospechoso y dudable, pero en este caso no podemos invalidar algo que se evidencia.
Por más que la nostalgia te gane, toca aceptar los resultados
Hay una parte en donde C3PO describe cómo funciona el cifrado en los grupos "relativamente pequeños" en SimpleX chat y hace una cosa que me dejo muy confundido, demasiado, monta una captura en donde muestra el "enviar confirmación de entrega a" y ahí describe a contactos y grupos cómo máximo a 20 ¿sabes a qué se refiere esa característica? Al famoso visto de WhatsApp, yo la tengo desactivada por defecto, nunca quiero que nadie sepa cuando leo o no su mensaje porque no quiero sentirme obligado a responder, quizás este ocupado y le deje pendiente para responder luego, entonces dicha característica hace referencia a eso, si no la activas, no pasa nada ¿con cuántos miembros funciona el cifrado? Definitivamente no mayores que cientos de miembros. Este diseño prioriza la privacidad y seguridad del grupo sobre su tamaño o rendimiento. Por ejemplo, para enviar un mensaje a un grupo de 100 miembros, un usuario necesitaría enviar un total de ~1.6mb de datos (ya que cada mensaje utiliza un bloque de tamaño fijo de 16kb). Y si enviaras un archivo de 1mb, también requeriría enviarlo 100 veces (asumiendo que cada miembro lo acepta); actualmente en mi grupo somos 24 lejos de los 100 y vamos 10/10 y quién sabe si alcancemos los 100.
Y bueno... resto de afirmaciones que automáticamente se caen con lo ya expuesto, no hace falta responder a ello porque crearía aún más redundancia. Seriamente, no sé quién le respondió (referente a las capturas en inglés) pero sí debió enlazar las fuentes de dichas afirmaciones y de por qué, justificando la documentación de la propia arquitectura ya existente.
"es pronto para alabar a SimpleX" Podría ser, si no tuviera una auditoria no me hubiera arriesgado.
Otra cosa es, no debemos suponer: eso de que los amigos y conocidos se descarguen el cliente que quieras y activen su protocolo de cifrado que quieras , suena muy bonito, pero en realidad puede que te dejen de lado, respecto a las "complicaciones técnicas" que nosotros lo vemos fácil, pero el usuario normie no, entonces no debemos suponer que todo el mundo cumplirá con tal forma idealista de realizar esa conexión porque de la teoría a la práctica pasan muchas cosas. Yo con SimpleX paso el enlace de descarga y el enlace a mi perfil y ya está, conozca o no la arquitectura, la otra persona no llevará más de 2 minutos tal conexión.
¿Más privado para quién o hacia quién?
Yo no puedo asimilar que mi colega caiga en esta falacia, misma de la que solíamos criticar a los usuarios pros GAFAM qué solían argumentar "¿Por qué me vigilan, si no soy nadie?" o la más tradicional "no tengo nada que esconder" así mismo el gran vídeo de Marta Peirano que todo amante a la privacidad debe de conocer, anexo vídeo:
Yo acá, después de escribir tanto sobre privacidad y demás, no quisiera agregar mucho más, puede que en algún momento mis propios escritos me pongan en la mira de disidentes gracias a mis filtraciones de mapas y ubicaciones, también que pueden que me coloquen en la mira por ciertas publicaciones a grupos particulares y demás, no lo sé… aun así, haré lo que esté a mi alcance según mi modelo de amenaza para protegerme y de hecho, esto del modelo de amenaza lo deja muy claro desde el primer artículo, entonces es redundante.
Destaco un fragmento de su artículo:
"Y para tener una buena privacidad hace falta crear, ya sea en SimpleX o en Xmpp, grupos controlados de gente conocida y fiable, no dejar entrar a cualquier persona sin saber quienes son, o en ese caso es casi como poner algo en un foro público: a disposición del espía o troll que entre para luego compartir lo que ponen los demás con quien quiera o donde quiera. No le veo mucho sentido".
Sobre eso charlamos, debido a la naturaleza de la plataforma cualquiera que posea el enlace puede ingresar de forma incógnita y no va a ver problema, ¿qué te impide a vos hacer lo mismo? Nadie conoce a nadie. Además, si es una comunidad sobre X tema, ¿qué problema hay? No lo veo, en cambio, si fuera un grupo de filtradores, periodistas, disidentes o que sé yo, en primer lugar NO compartirías el enlace con nadie que no conozcas, es una regla simple.
Mi amigo Cris también respondió al mismo cuestionamiento con lo siguiente:
"Lo primordial es que un derecho que debería tener todos, lo segundo para ello es el grupo, mientras cumpla las normas todo ok, tercero varios dicen lo mismo ( ej : resistencia digital ) que si las agencias quieren rastraerte lo harán y cuarto me remito al punto 1 debería ser una norma que sean así de privadas y seguras las mensajerías".
En fin, espero haber dejado todo claro y recalco que es una respuesta critica a los argumentos y JAMÁS al autor y gracias.
