Barrapunto

El problema es la confianza. Por algún motivo confiamos en WhatsApp, Line o Telegram, quizás porque tienen un negocio grande y no pueden jugarse demasiado el prefijo.

Pero si yo me monto mi servidor en casa, ¿puedo añadir números al directorio? ¿Y cómo sabéis que los números que estoy añadiendo son los correctos? ¿Y si todos soy yo haciéndome pasar por la gente?

Es más, lo del hash no sirve. Si quiero suplantar a una persona solamente tengo que coger su número y usar el algoritmo que sea para registrar su hash.

Lo único que parece conferir algo de seguridad con el tema de asociar cuentas y números son los SMS.

Yo en aquella bitácora de Defero fui quien propuse un servicio Jabber clon de WhatsApp, pero imaginaba que sólo usaría los números para sus propios usuarios. En mis propias palabras tendría un funcionamiento mixto: centralizado hacia dentro (con números de teléfono) y descentralizado hacia fuera (comunicación con cuentas XMPP tradicionales).

La madre del cordero estaría en construir un servicio federado que pudiera funcionar con el número de teléfono. Y la primera cuestión que habría que resolver es si esto es en realidad bueno y es lo que queremos.

Para el directorio hablamos de algunas soluciones posibles. Una consistiría en que los números de teléfono sólo funcionarían en proveedores que ofrecieran garantías mediante algún tipo de acuerdo (inspecciones, sanciones, etc), mientras que, de nuevo, estaría abierto para todo el mundo. El defecto de esto es que no podría entrar en el directorio nadie que no tuviese alguna empresa rentable para esto, nada de usarlo en un servidor jabber de tu casa. Pero al menos la comunicación con cuentas tradicionales estaría siempre abierta.

La otra solución de la que estuvimos hablando fue que los contactos de otros proveedores los tuvieras que confirmar manualmente. Defero proponía varios niveles de confianza: verde si lo he verificado manualmente, azul si está en mi mismo proveedor (que se supone que es de confianza para mí), amarillo si pertenece a un proveedor de la red de confianza (los que suscribían los acuerdos del párrafo anterior), y rojo si es de otro proveedor.

Otra posibilidad que se me ocurre sería usar los SMS de alguna forma. Por ejemplo, si yo soy el servidor Superjabber y busco el número 60000001 en el directorio y me dice que está en Megajabber, le mando la mitad de una contraseña Megajabber y la otra mitad por SMS al número. Megajabber ha de devolverme la contraseña completa para que yo valide ese usuario como de confianza. En mi servidor guardo la confirmación, de forma que no necesito mandar los SMS cada vez que alguien le añade de usuario.

Puedes igualar el nivel de confianza de Whatsapp permitiendo unirse solo organizaciones que verifiquen el número de teléfono vía SMS.

No estoy proponiendo un sistema para unir todos los jabber que hay por el mundo. Sino un sistema de mensajería basado en XMPP tan usable como Whatsapp o Telegram pero federado y abierto a mas jugadores.

De hecho, la operativa que propongo creo que no es 100% XMPP, alguna modificación al protocolo habría que hacer.