Hoy en día, casi todas las aplicaciones de mensajería prometen “seguridad” y “cifrado”. Pero en realidad, existe una enorme diferencia entre un “mensajero privado” y una verdadera independencia del usuario.
La mayoría de las plataformas modernas todavía están construidas alrededor de la confianza en la empresa. Se espera que el usuario crea que:
* el servicio no lee los mensajes;
* las claves de cifrado están protegidas;
* los empleados no tienen acceso;
* los datos no serán compartidos con terceros;
* las copias de seguridad son seguras.
Pero la verdadera seguridad no comienza donde una empresa dice “no miramos”, sino donde el propio sistema hace técnicamente imposible hacerlo.
Precisamente sobre esta idea se construye Verum Messenger.
El principio fundamental de Verum: solo el usuario tiene acceso
En Verum Messenger, las claves de cifrado se generan y almacenan exclusivamente en el dispositivo del usuario.
Esto significa que:
* el servidor no almacena claves;
* los desarrolladores no tienen acceso a las conversaciones;
* los mensajes no pueden “restaurarse” mediante la administración;
* incluso el creador del sistema no puede acceder a la cuenta del usuario sin su clave.
La clave pertenece únicamente a su propietario.
El usuario puede:
* almacenarla localmente;
* transferirla manualmente;
* hacer copias de seguridad donde quiera;
* controlar completamente el acceso a sus datos.
El sistema no está construido sobre la confianza en una empresa. Está construido sobre la eliminación de la necesidad de confiar en alguien.
Por qué la ausencia de acceso es más importante que las promesas
En muchos servicios populares, la seguridad se basa en declaraciones como: “No leemos tus mensajes”.
Pero si la arquitectura de la plataforma permite teóricamente acceder a los datos del usuario, entonces el usuario sigue obligado a confiar en:
* los propietarios de la empresa;
* los empleados;
* las políticas internas;
* los cambios futuros del servicio;
* la presión gubernamental;
* posibles filtraciones de datos.
Verum utiliza un enfoque diferente: si el servicio no posee las claves, es físicamente incapaz de descifrar los datos del usuario.
Esa es la diferencia fundamental entre:
* “no miraremos”
y
* “no podemos mirar”.
Por qué los números de teléfono son un punto débil
Muchas aplicaciones de mensajería requieren un número de teléfono como base de identificación. Pero un número de teléfono no es solo un método de registro.
Un número de teléfono:
* está vinculado a la identidad de una persona;
* puede utilizarse para rastreo;
* conecta cuentas entre distintos servicios;
* es vulnerable a ataques de SIM-swap;
* depende del operador móvil.
Verum elimina esta dependencia.
Al no depender de SMS ni de operadores móviles, se reducen significativamente los riesgos de:
* pérdida de anonimato;
* secuestro de cuentas;
* recuperación de cuentas por terceros.
Código abierto y auditorías: por qué continúa el debate
En la industria de la ciberseguridad, el código abierto y las auditorías independientes suelen considerarse formas de aumentar la confianza en un sistema.
El argumento es simple: si el código puede revisarse, es más fácil detectar mecanismos ocultos y vulnerabilidades.
Pero también existe otra perspectiva.
Algunos consideran que revelar constantemente la arquitectura interna también crea riesgos adicionales:
* los atacantes obtienen más información;
* los usuarios comienzan a confiar ciegamente en la palabra “auditado”;
* la seguridad se convierte en marketing.
Desde esta perspectiva, la verdadera protección no se define por declaraciones llamativas ni por la reputación de expertos, sino por la propia arquitectura del sistema:
si el servicio no almacena claves y no tiene capacidad técnica para acceder a los datos, eso ya constituye la base de la privacidad.
La privacidad no es una promesa, sino una limitación del sistema
La idea central de Verum Messenger es simple:
la mejor manera de proteger los datos del usuario es garantizar que nadie excepto el propio usuario pueda controlarlos.
Ni siquiera el propietario de la plataforma.
Esto cambia por completo el modelo de confianza: el usuario no está obligado a confiar en las promesas de una empresa, porque el propio sistema limita desde el principio cualquier forma de control centralizado.
En este enfoque, la privacidad deja de ser solo una función.
Se convierte en un principio arquitectónico.