Preguntas frecuentes
¿Tor tiene que estar ejecutándose para poder usar CoyIM?
No, Tor no es necesario para utilizar CoyIM. Sin embargo, te lo recomendamos enérgicaamente, ya que las características de seguridad de CoyIM son mejoradas enormemente por Tor, tanto en términos de cifrado como de anonimato. Recuerda que CoyIM detectará a Tor automáticamente si lo tienes instalado, y también usará la conexión Tor del paquete del navegador Tor si este se está ejecutando cuando utilices CoyIM.
Si es absolutamente necesario que desactives el soporte para Tor, la forma más sencilla de hacerlo es editando la información de tu cuenta (Cuentas-> nombre de la cuenta -> Editar …), haz clic en “Mostrar todas las configuraciones”, selecciona la pestaña “Proxies” y luego elimina la entrada “tor-auto: //”. Si alguna vez deseas volver a encenderlo, puedes ir al mismo lugar, hacer clic en “Agregar …” y usar la opción “Tor automático”. No es necesario ningún otro ajuste.
¿Qué significa que CoyIM aún no está auditado?
Como parte del desarrollo de cualquier tipo de aplicación o herramienta, es normal realizar una auditoría de seguridad. Cuando se trata de aplicaciones que se centran especialmente en la seguridad y la privacidad, esto es aún más importante. El objetivo de una auditoría de seguridad es que una tercera persona u organización revise el código fuente, buscando cualquier tipo de vulnerabilidad u otro problema de seguridad.
CoyIM como producto completo aún no ha sido auditado. La razón de esto es principalmente el tamaño del proyecto y el desarrollo en curso. Una auditoría llevaría bastante tiempo y además detendría el desarrollo. Preferiríamos hacer este tipo de auditoría cuando el desarrollo se haya estabilizado un poco.
Sin embargo, la biblioteca que usa CoyIM para el cifrado de extremo a extremo (OTR3) fue auditada en 2019-2020, mostrando sólo problemas menores, todos los cuales fueron resueltos y sus resoluciones fueron revisadas por los auditores. Eso nos da una fuerte sensación de certeza de que el componente de cifrado de la aplicación protege a los usuarios de la forma en que se supone que debe hacerlo.
El hecho de que CoyIM como aplicación no haya sido auditada es algo que vale la pena tener en cuenta. Si tienes otras alternativas para hacer algo extremadamente delicado, debes hacer un modelo de amenazas e intentar comprender si CoyIM o las alternativas te protegerán mejor. Sin embargo, sólo en virtud de las opciones de implementación, CoyIM será más seguro que la mayoría de las alternativas, ya que vulnerabilidades como los desbordamientos de búfer no son posibles.
¿Dónde puedo obtener más información sobre cómo funciona CoyIM?
Aquí encontrarás algunos recursos útiles para aprender más sobre la tecnología que usa CoyIM:
A continuación, se muestran algunos recursos útiles para obtener más información sobre seguridad:
Olvidé mi contraseña de configuración, ¿puedo recuperarla?
Tristemente no. La contraseña de tu archivo de configuración se utiliza directamente para generar los parámetros de cifrado que almacenan el archivo de configuración de forma segura. Por esta razón, no podrás recuperar una contraseña perdida. Cualquier otra decisión no sería segura, ya que si puedes recuperar tu contraseña, otra persona también podría hacerlo.
Recomendamos el uso de un administrador de contraseñas como KeePassXC para almacenar todas tus contraseñas de forma segura. De esa manera reducirás el riesgo de perder el acceso a tu configuración.
¿Implementarán la funcionalidad X?
A menudo recibimos solicitudes para implementar varias funcionalidades en CoyIM. Y aunque entendemos que la mayoría de estas solicitudes podrían ser útil para muchos de nuestros usuarios, a menudo diremos que no, ya que la mayoría de las funcionalidades disminuirían la seguridad de la aplicación. Por favor, da un vistazo a la documentación sobre las funcionalidades que no incluiremos para obtener una explicación más detallada de este asunto.
Si deseas proponer una funcionalidad, puedes hacerlo en nuestro issue tracker aquí. Antes de enviar un nuevo issue, te recomendamos que hagas una búsqueda rápida entre los issues anteriores para ver si tu solicitud ya ha sido discutida anteriormente.
¿Crearán una versión móvil de CoyIM?
Regularmente recibimos la solicitud para que CoyIM se ejecute en dispositivos móviles. Por varias razones técnicas, esto no es realmente posible. Las características de CoyIM y la forma en que se implementan y la filosofía del producto son incompatibles con una implementación para dispositivos móviles. Por lo tanto, no crearemos una aplicación de este tipo.
Creemos que algunas de las ideas detrás de CoyIM podrían ser útiles en un entorno móvil, pero eso implicaría un proyecto completamente nuevo, diseñado desde cero para el entorno móvil. Puede suceder en el futuro, pero no tenemos planes inmediatos para ello.
¿Qué tan segura debe ser mi contraseña para el archivo de configuración?
Cuando elijas cifrar tu archivo de configuración de CoyIM, te pediremos que elijas una contraseña para ello. La contraseña se ejecutará a través de un algoritmo llamado SCrypt que invertirá una gran cantidad de tiempo del procesador para generar una clave de cifrado, que luego se utilizará para encriptar el archivo. Esta poderosa técnica implica que cualquiera que intente forzar la contraseña tendrá que usar el mismo proceso para probar si la contraseña es correcta. En la práctica, probar una contraseña con un archivo de configuración de CoyIM puede tardar entre 0,5 y 3 segundos, dependiendo de tu computadora. Esto significa que probar incluso unos pocos cientos de contraseñas llevaría mucho tiempo para un atacante. Entonces, la respuesta a esta pregunta es que la contraseña no tiene que ser extremadamente segura. No debería ser “1234”, pero tampoco tiene que ser “pPfxIutXV3qUFt7kzbxAiAuhXYgNzrAgpToElLUamz8Q5fYFKhXYd57DI3ckX2Cktv2MeQ”.
¿Es realmente seguro almacenar contraseñas en el archivo de configuración?
Sí, debería ser completamente seguro. Ciframos el archivo de configuración utilizando un método estándar que protege la información en él significativamente mejor que otras aplicaciones que existen. Esto, suponiendo que no hayas desactivado la opción de cifrar el archivo de configuración.
¿Tendrán soporte para OMEMO?
Recibimos esta pregunta con bastante frecuencia, y por las razones que se describen aquí, no creemos que admitir algún otro protocolo de cifrado sea una buena idea para CoyIM. Si estás interesado en leer más sobre nuestra perspectiva, específicamente sobre OMEMO, puedes encontrar varios issues en nuestro issue tracker al respecto, aquí.
¿Dónde se encuentra el archivo de configuración?
Tu archivo de configuración se almacenará en diferentes ubicaciones según el sistema operativo. También tendrá diferentes nombres dependiendo de si está encriptado o no. Todos los siguientes ejemplos supondrán que tu nombre de usuario es “testuser”.
SO | Cifrado | No cifrado |
---|---|---|
Linux | /home/testuser/.config/coyim/accounts.json.enc |
/home/testuser/.config/coyim/accounts.json |
macOS | /Users/testuser/.config/coyim/accounts.json.enc |
/Users/testuser/.config/coyim/accounts.json |
Windows | C:\Users\testuser\AppData\Roaming\coyim\accounts.json.enc |
C:\Users\testuser\AppData\Roaming\coyim\accounts.json |