Signal Private Messengerha sido una plataforma de mensajería popular durante años, gracias a su enfoque en la privacidad y el cifrado de extremo a extremo. El proyecto ha publicado el código fuente de cada componente de Signal, incluido el servidor back-end y las aplicaciones cliente, pero el código público para el software del servidor quedó obsoleto durante meses hasta hoy.

Signal almacena la menor cantidad de información posible en servidores remotos, pero aún así hay un componente de servidor para conectar a los usuarios con números de teléfono, enviar notificaciones push y otras funciones. Signal ha proporcionado el código fuente del software del servidor en GitHub, lo que hace posible que cualquiera puedaconfigurar su propia infraestructura independiente. Sin embargo, la mayoría de las personas simplemente eligen usar la plataforma de Signal, ya que no se admite la comunicación entre el servidor principal y los servidores alojados por ellos mismos (federación).

Después del 22 de abril del año pasado, Signal dejó de actualizar el repositorio de código público para su software de servidor. La medida fue preocupante, dado que la naturaleza de código abierto de Signal facilitaba la realización de auditorías de seguridad y la garantía de que la plataforma no filtrara datos privados. El mes pasado se creó unproblema en GitHub sobre la falta de lanzamientos, trasotras discusiones en Reddityen el propio foro de la comunidad de Signal.

Si bien Signal aún no ha hecho una declaración pública sobre la brecha en las publicaciones de código, el proyecto finalmente publicó hoy cientos de confirmaciones en elrepositorio público de GitHub. El repositorio ahora muestra muchas confirmaciones de código completadas a lo largo de 2020 y 2021, lo que aumenta la última versión del servidor disponible de3.21a5.48.

Todavía no está claro por qué Signal tardó tanto en actualizar el código de su servidor público, especialmente cuando el grupo siempre se ha enorgullecido de ser abierto y transparente. Nos hemos puesto en contacto con Signal para obtener una declaración y actualizaremos nuestra cobertura cuando/si recibamos una respuesta.

Actualización 1: Explicación

El director ejecutivo de Signal, Moxie Marlinspike, hacomentadoel problema de GitHub y ha dado una explicación del retraso. Dice que el retraso no se debe a que la empresa intentara ocultar detalles de sunueva función de pagos centrada en la privacidadantes de su lanzamiento, sino que tenía como objetivo principal evitar que los spammers obtuvieran las nuevas medidas antispam que la empresa planeaba implementar. Además, reitera que el código fuente del cliente se publica con cada lanzamiento, que las compilaciones son reproducibles y que Signal está diseñado para no confiar en el servidor de todos modos, lo que significa que tener acceso al código fuente del servidor "no tiene consecuencias para la seguridad". Sin embargo, concluye diciendo que entiende por qué la gente puede querer ver el código fuente del servidor con fines educativos o para ejecutar sus propias instancias, por lo que promete que la empresa "hará un mejor trabajo para impulsar los cambios en tiempo real".

Aquí está su comentario completo:

"En primer lugar, lamento que el código fuente de uno de nuestros servicios estuviera tan atrasado. A menudo no publicamos el código fuente hasta que lanzamos algo, y hubo algunos lanzamientos superpuestos en ese período, lo que hizo que fuera difícil publicarlo en cualquier momento y nos retrasara. Además, hemos visto un gran aumento en el spam y una renuencia a publicar de inmediato las medidas antispam exactas con las que estábamos respondiendo en un lugar donde los spammers pudieran verlas de inmediato, combinado con lo anterior para causar este retraso extremo.

Como han señalado las personas de este hilo, nuestro código fuente de cliente siempre se publica con cada versión, las compilaciones son reproducibles y todo está diseñado para no confiar en el servidor de todos modos. Para que quede claro para los pocos fanáticos de papel de aluminio (a esta altura Internet no sería lo mismo sin ustedes, gracias por su servicio), no estamos bajo ninguna "orden de censura", no hay NSL y el punto es que no hay ningún "malware" que podamos instalar en el servidor.

Incluso si no tiene consecuencias para la seguridad, entendemos por qué el código fuente del servidor es útil para las personas que desean ejecutar sus propias versiones de Signal, comprender cómo funciona Signal y, en general, ver cómo se crean las cosas. Haremos un mejor trabajo para implementar cambios en tiempo real.

Tratamos de no utilizar los problemas de GH para discutir, así que voy a cerrar esto ahora, pero contáctenos en los foros".