Blog de C3PO

SimpleX Chat

Creo que GatoOscuro no me ha dejado más remedio que escribir sobre esta nueva mensajería segura y privada, y más tras su polémico artículo sobre XMPP je je:

¿Por qué no uso XMPP? - GatoOscuro

Bueno, empecemos por lo principal: ¿es SimpleX más privado y seguro que Xmpp?. La respuesta es que sí, pero creo que se está criticando de forma injusta a Xmpp.

SimpleX trae muchas opciones de privacidad que no se encuentran en Xmpp ni en sus clientes. Un ejemplo es la protección de los metadatos, no necesitar IDs y la opción de entrar a grupos con un nick de incógnito, muy útil si no quieres que sepan quien eres pero aún conservar tu identidad para contactar individualmente con tus contactos.

Pero en Xmpp siempre puedes crear una identidad anónima desde Tor en algún servidor y hacerlo igualmente tus contactos. Y sobre los grupos, pues también puedes crear en Xmpp un grupo cifrado para un número limitado de contactos y ponerlo oculto o hasta con contraseña. De esta forma nadie podrá entrar sin ser autorizado antes, e incluso ya autorizado y dentro del grupo tampoco podrá leer los mensajes anteriores porque fueron cifrados. El historial guardado en el servidor Xmpp será también cifrado.

En SimpleX los grupos ya son cifrados. Esto es bueno si es lo que se busca. Se cree que sirve para grupos grandes pero desde la misma documentación ya se dice que es para grupos pequeños, y la forma de autenticar a los miembros de un grupo es parecida a Xmpp: cuando envías un mensaje es como enviarlo de forma cifrada a cada miembro del grupo, por lo que las claves se comparten automáticamente dentro del grupo. Atentos a esto último.

Es también para grupos pequeños:

1

En SimpleX se hace de forma automática, que yo sepa es así siempre. Ellos mismos advierten que depende del admin o del que invita a un grupo que sea fiable, porque SI que se podría intervenir este cifrado. Imagino que harán algo más adelante al respecto, pero se critica el MiTM en Xmpp y...:

3

4

5

Decía que atentos a esto porque en Xmpp hay clientes que no lo hacen así, sino que debes autenticar las claves y verificarlas manualmente, como por ejemplo Gajim (muy recomendable su última versión desde flatpak, que lo hace muy sencillo al pinchar en el icono del escudo):

7

Desde SimpleX recomiendan hacer algo similar, pero dudo que los que se unen a un grupo de SimpleX hagan algo así, a menos que sea un grupo pequeño, que es como debería ser.

También recomiendan tener cuidado a la hora de hacer conexiones directas hacia un miembro del grupo por lo comentado anteriormente:

6

Xmpp lleva mucho tiempo con nosotros: estuvo, está y estará. Y tiene las herramientas necesarias para algo privado. Por supuesto no trae todas las opciones que incluye SimpleX, y alabo que esta última mensajería lo haga así. Pero es pronto para alabar a SimpleX cuando es algo relativamente nuevo, y ya sabemos que muchas apps similares salen online y al poco desaparecen o dejan de ser soportadas. En cambio, Xmpp lleva muchos años ya con nosotros y poco a poco van añadiendo funciones nuevas, como llamadas y videollamadas en cada vez más clientes.

Cuando contacto con alguien por Xmpp lo primero que le digo es que active Omemo, y si usa Android le recomiendo la app Conversations descargada desde F-droid. Es simplemente porque ya trae omemo activado por defecto y todo es mucho más sencillo, así como llamadas telefónicas y mucho más. De hecho yo mismo hablo con mi mujer por teléfono usando Conversations.

Para GNU/Linux suelo recomendar Dino o Gajim (mejor la última versión de flatpak) y que activen siempre omemo igualmente. Y no he tenido incompatibilidad con nadie, menos aún con el cifrado. No entiendo tantas críticas sobre esto, porque cuando vas a interactuar de forma privada con alguien pues lo primero que se plantea es precisamente esto, y si hay algún problema se resuelve rápidamente.

Para la mayoria de la gente usar Xmpp es más que suficiente y más aún con los programas recomendados anteriormente. Y para grupos, se pierde de vista que la mayoría son sin cifrar porque no importa lo que se publique ahí, es como usar Lemmy o cualquier foro online al público, y si se quiere algo más privado pues se usan conversaciones individuales con cifrado omemo y no se publica en el grupo. Como si fuera Mastodon, un foro o algo similar.

Si alguien busca algo más privado creará un grupo pequeño oculto y cifrado, incluso quizás hasta le ponga contraseña, tal como comenté al principio de este artículo. Yo tengo uno así.

También agradezco que mi app preferida de XMPP para Android: Conversations, tenga opción de agrandar la letra o fuente, cosa que no trae la app de SimpleX. Para los que ya tenemos algún problema de vista cansada nos viene genial.

Resumiendo: Xmpp se ve más que suficiente para un uso normal. Es rápido, ligero, consume muy poco y tienes muchas opciones disponibles de privacidad. Tiene mucha historia y aquí sigue resistiendo cualquier ataque o hasta programas nuevos que al tiempo desaparecieron.

Si alguien busca algo más privado pues tiene SimpleX u otras apps similares, pero debe preguntarse ¿más privado para quién o hacia quién?, porque si es por alguna agencia del gobierno poco podremos hacer con Android, PCs y tal si quieren interceptarnos. Si es por alguna empresa de publicidad... pues tampoco podrán hacer nada contra Xmpp. Si es por otras personas pues lo mismo: no pueden entrar en un grupo cifrado oculto en Xmpp.

Pero por supuesto, si te preocupa tanto este tema y tu privacidad y crees que usando SimpleX vas a estar mucho más privado y seguro pues adelante. Yo llevo mucho con Xmpp y nunca tuve problemas.

Y para tener una buena privacidad hace falta crear, ya sea en SimpleX o en Xmpp, grupos controlados de gente conocida y fiable, no dejar entrar a cualquier persona sin saber quienes son, o en ese caso es casi como poner algo en un foro público: a disposición del espía o troll que entre para luego compartir lo que ponen los demás con quien quiera o donde quiera. No le veo mucho sentido.

Yo seguiré usando Xmpp, llevo años y estoy muy contento con sus apps, programas y con mis actuales contactos y el grupo cifrado. También estoy usando SimpleX, aunque solo estoy en un grupo y con un nick de incógnito, y para tener contacto con alguna persona que ya no está en Xmpp.

Pero reconozco que se ve muy recomendable SimpleX y lo que va haciendo hasta ahora: se van actualizando rápidamente y añadiendo funciones o características nuevas. Hay que hacerle un buen seguimiento y veremos que nos depara para un futuro.

Por lo pronto ya le hicieron una auditoría de seguridad y arreglaron los fallos que se encontraron en la misma.

SimpleX Chat

Auditoría de seguridad