Signal ha estado un año sin mostrar el código de su servidor: se vende como software de código abierto y no siempre lo ha sido

Signal es uno de los grandes competidores en el mercado de la mensajería instantánea. Sobre todo desde que WhatsApp anunciase cambios en sus términos de uso que llevarán a la empresa a compartir información con Facebook fuera de los mercados de la Unión Europea, lo que llevó a usuarios de todo el mundo a mudarse de aplicación de forma masiva. Uno de los fuertes de Signal es que se vende como alternativa que aporta mucha seguridad y que su naturaleza es de código abierto.

Sin embargo, se acaba de conocer que la empresa sin ánimo de lucro que está detrás de la aplicación Signal no siempre se ha ceñido a sus promesas originales de código abierto. Mientras que publica regularmente el código de sus aplicaciones, la revista alemana Golem ha descubierto que Signal no actualizó el repositorio de Github para su servidor durante casi un año. Hay que aclarar que hoy mismo la empresa ha lanzado una actualización con una versión más reciente con novedades y con su código publicado.

Como publica Android Police, el repositorio estaba lleno de quejas de la comunidad de código abierto preguntando por qué Signal ya no publica los cambios en el código de su servidor. Antes de esta versión más reciente, el último código publicado se remontaba al 20 de abril de 2020. Diversas publicaciones como Golem o Hacker News han dicho haber contactado a Signal pidiendo aclaraciones a este respecto y no han recibido respuesta.

No es un problema de seguridad, sino de anunciar algo que no es

A pesar de esto, la comunicación segura está garantizada por la encriptación de extremo a extremo implementada en las aplicaciones cliente de código abierto y el protocolo de Signal. De hecho, en la misma discusión abierta en Github se aclara que no se está hablando de privacidad. “Usar Signal es seguro e incluso si se utilizase un servidor malicioso, tus mensajes estarían seguros”. Esta discusión no es necesariamente sobre la seguridad/privacidad que ofrece Signal, “sino sobre el hecho de que Signal anuncie su servidor como de código abierto cuando no lo es“.

Una aplicación de servidor de código cerrado impide que cualquiera pueda auditar la versión más reciente de la versión o construir sus propios servidores de Signal actualizados, como recuerda Android Police. Para un proyecto de código abierto, esto tiene consecuencias y es que quita la posibilidad de que terceras partes creen sus propias plataformas independientes utilizando el código de Signal si no están contentos con la dirección que toma esta firma.

La principal queja de los usuarios es la falta de transparencia sobre este asunto y el retraso de casi un año en la liberación del código fuente del servidor. Con todo esto, hoy mismo, Signal ha empezado a publicar una versión más reciente del código del servidor en Github, y la versión 5.4.8 ya está disponible.

Signal anuncia en su actualización una función de pago

Y con todo esto, la nueva versión anunciada por Signal (otra queja de los usuarios es que la compañía publicó su versión más reciente del código de Signal Server en Github, pero no avisó de ello a los usuarios de la plataforma) es que ofrece funciones de pago entre usuarios y con criptomonedas.

Por el momento, esta nueva utilidad está solo disponible en el Reino Unido y permite a los usuarios enviar y recibir dinero a través de una criptomoneda que utiliza el protocolo de pago de MobileCoin y que denominan MOB.

De hecho, hay quienes dentro de la conversación abierta en Github comentan que este código pudo mantenerse cerrado tanto tiempo para evitar desvelar la nueva funcionalidad que se ha anunciado.


La noticia

Signal ha estado un año sin mostrar el código de su servidor: se vende como software de código abierto y no siempre lo ha sido

fue publicada originalmente en

Genbeta

por
Bárbara Becares

.