Cómo funciona
Session genera localmente un Account ID de 66 caracteres en el primer arranque — esa cadena es la única identidad asociada a tus mensajes. Los mensajes salientes se envuelven en tres capas de cifrado y se envían por rutas onion a través de la red de service nodes de Session, la infraestructura descentralizada heredada del proyecto Oxen. Hasta que el destinatario se conecte, el cifrado permanece en un swarm de service nodes, ninguno de los cuales puede ver a la vez contenido, remitente y destinatario. Los clientes para escritorio, iOS y Android son builds oficiales; también hay una vía F-Droid y un APK auto-compilado. El cifrado de extremo a extremo usa el Session Protocol, un derivado del Signal Protocol despojado del identificador permanente que es el número de teléfono y rediseñado para funcionar sobre la red descentralizada de almacenamiento y reenvío de la Fundación.
KYC y privacidad
La creación de cuenta no pide nada. No hay formulario de registro, ni verificación de correo, ni código SMS — el dispositivo genera un par de claves, la mitad pública pasa a ser tu Account ID, la mitad privada se queda en el dispositivo. No hay servidor central al que citar judicialmente porque no hay servidor central: los mensajes se cuelan por service nodes en rotación y el cliente usa onion requests, de modo que ningún nodo ve los dos extremos de una conversación. Los clientes se publican bajo GPLv3 con porciones bajo BSD/MIT, y el árbol de fuentes es auditable públicamente en GitHub. Quarkslab auditó Session en 2020–2021 sobre escritorio, iOS y Android, registrando 16 incidencias; solo una se calificó de severa (un fallo de verificación TLS en la consulta Android de service nodes) y todas se corrigieron dentro del periodo de auditoría.
Puntos fuertes y límites
La fortaleza más importante es estructural: no hay número de teléfono que filtrar, ni correo que correlacionar, ni operador al que se pueda obligar a entregar una tabla de usuarios porque esa tabla no existe. La gobernanza también pesa. Cuando la Policía Federal Australiana empezó a llamar a las puertas y la e-Safety Commissioner local presionó por reglas sectoriales de retención, la OPTF se retiró en octubre de 2024 y la Session Technology Foundation tomó el relevo desde Suiza. Los límites son reales. El Account ID de 66 caracteres es un peaje de usabilidad — no es memorizable y hay que compartirlo por QR o canal externo — y la minimización de metadatos de Session se paga en funcionalidad: las notificaciones push de iOS pueden ser inestables, las llamadas de voz y vídeo siguen madurando, y la auditoría de Quarkslab tiene ya cuatro años sin un seguimiento publicado. La criptomoneda que incentiva a los service nodes es OXEN, cuya cotización fluctúa al margen de las garantías de privacidad del mensajero pero conviene tener en cuenta.
Veredicto
Session es a lo que se acude cuando no se quiere que un número de teléfono quede registrado en la base de datos de alguien. No es la aplicación de chat más fluida — Signal sigue ganando en calidad de llamada y fiabilidad — pero en la métrica que el proyecto eligió, la fuga de metadatos, ofrece la respuesta más rigurosamente diseñada de cualquier cliente de uso masivo. Nota: A- (8,9/10). Confianza: LEGIT.
Session es a lo que se acude cuando no se quiere que un número de teléfono quede en la base de datos de alguien. No es el chat más fluido, pero en fuga de metadatos ofrece la respuesta más rigurosamente diseñada de cualquier cliente de uso masivo. Nota: A- (8,9/10). Confianza: LEGIT.
