1 puntos por GN⁺ 2025-02-18 | 1 comentarios | Compartir por WhatsApp
  • X está impidiendo publicar enlaces de Signal.me, el dominio de contacto directo de Signal, en mensajes directos, publicaciones públicas y la biografía del perfil
  • Al bloquearlos, según el entorno como la web o la app de iPhone, aparecen mensajes de error como “potencialmente dañino”, “parece una solicitud automatizada” o “Description is considered malware”
  • Los enlaces de Signal.me ya publicados no quedan totalmente bloqueados, pero para abrirlos hay que pasar por la página de advertencia de URL Policy de X
  • El bloqueo parece estar concentrado en Signal.me; enlaces similares como Signal.org o URLs de contacto de Telegram aparentemente sí están permitidos
  • Todavía es posible publicar el handle de Signal como texto para que otros usuarios lo copien y peguen en la app de Signal

Enlaces de Signal.me bloqueados en X

  • X está bloqueando la publicación de enlaces del dominio Signal.me que los usuarios de Signal comparten para recibir contacto directo desde la app
    • El alcance del bloqueo incluye mensajes directos, publicaciones públicas y la sección de biografía del perfil
  • Al intentar publicarlos, se muestran distintos mensajes de fallo según el entorno de uso
    • “We can’t complete this request because this link has been identified by X or our partners as being potentially harmful”
    • “This request looks like it might be automated”
    • Al intentar agregarlo a la biografía del perfil, aparece “Account update failed. Description is considered malware”
  • Incluso los enlaces de Signal.me ya publicados no abren directamente al hacer clic, sino que pasan por una página de advertencia
    • X avisa que el enlace fue identificado como “potentially spammy or unsafe”
    • El usuario puede ignorar la advertencia y pulsar un enlace adicional para ir a la URL original de Signal.me

Alcance confirmado y vías de escape que aún quedan

  • No está claro cuándo comenzó el bloqueo, pero antes sí era posible incluir enlaces de Signal.me en publicaciones públicas y en la biografía del perfil
  • El impacto parece limitarse a las URLs de Signal.me
    • Otros enlaces de Signal, como Signal.org, aparentemente no están bloqueados
    • Enlaces similares de servicios de terceros, como las URLs de contacto de Telegram, están permitidos en X
  • El investigador de seguridad Mysk detectó primero este problema la noche del 16 de febrero de 2025 y confirmó el bloqueo en DM, publicaciones y biografías de perfil
  • Signal ha sido una vía principal de contacto privado entre periodistas y fuentes
    • Los mensajes están cifrados de extremo a extremo
    • El contenido se almacena en el dispositivo y no se guarda en la nube de los servidores de Signal
  • En las últimas semanas, Signal también ha sido importante para que empleados federales enviaran información a periodistas sobre el acceso de DOGE, de Elon Musk, a datos de varias agencias gubernamentales
  • Actualmente, los usuarios de Signal pueden publicar en X su handle de Signal como texto, y otros usuarios pueden copiarlo y pegarlo en la app de Signal

1 comentarios

 
GN⁺ 2025-02-18
Opiniones en Hacker News
  • No intento defender a Twitter ni sus políticas, pero esto podría ser un error legítimo
    A la escala de Twitter, la protección y detección de URL inseguras suele estar automatizada, y podría ser similar a cuando se bloqueaban acortadores de URL completos por algo de malware, phishing o contenido prohibido
    A medida que Signal crece, los enlaces de signal.me aparecen más en Twitter, y aunque la mayoría sean enlaces legítimos, también aumenta la cantidad de enlaces ilegales, por lo que es posible que se haya activado un bloqueo automático
    El verdadero problema es que, incluso si hubiera sido intencional, Twitter puede esconderse fácilmente detrás de un “fue demasiada automatización, lo sentimos”, sobre todo si, tras la compra de Twitter, los expertos relacionados se fueron o fueron despedidos y la automatización no se mantuvo ni ajustó correctamente

    • El punto clave está enterrado en una nota al pie. Aunque haya sido un simple error, un cambio de bloqueo de URL para un sitio que se comparte con tanta frecuencia podría haberse evitado perfectamente con una revisión humana
      Si consideran “eficiencia” no dejar personal que siquiera note que los fragmentos de URL y los hashtags usan el mismo símbolo, esa persona no debería acercarse a ninguna organización relacionada con la “eficiencia gubernamental”
    • Suena plausible si se considera que todos los enlaces prohibidos tenían este formato
      https://signal.me/#eu/fdy5h1miMifXa...
      El hash de una URL (la parte después de #) normalmente no se considera una parte significativa de la URL en los sistemas automatizados. Esto se debe a que, originalmente, el hash sirve para apuntar a una ubicación específica dentro de la página web cargada por la URL anterior
      Si algún enlace de Signal.me fue marcado por una razón válida, como malware o contenido ilegal, es perfectamente posible que el sistema automatizado haya eliminado el hash y haya bloqueado el dominio completo, cuya ruta es básicamente solo /
      Sería interesante ver si lo corrigen y lo revierten. Si no lo hacen, se podría estar bastante seguro de que fue intencional
    • El propósito de un sistema es lo que ese sistema realmente hace
    • Hay tres razones por las que cuesta creer esto. Incluso si fue un error de automatización, cuánto tardan en revertirlo; por qué solo se bloquea en X y no en otras redes sociales; y si X no había bloqueado antes también las URL de Substack y Mastodon
    • Si una plataforma se basa en compartir enlaces, debería saber qué dominios apuntan a acortadores de URL
      Aunque automaticen el procesamiento, cuando se topen con URL como signal.me, bit.ly o goo.gl, primero deberían hacer un GET y aplicar el algoritmo al destino indicado en el encabezado Location
      No hacer esto con un acortador de URL tan ampliamente usado como signal.me demuestra incompetencia técnica
  • ¿La gente en Estados Unidos todavía usa X? Si es así, me da curiosidad saber por qué. Quedarse en esa plataforma no acerca al dueño un paso más a arruinar su país?

    • Como con todas las plataformas sociales, por los efectos de red. Las funciones reales son secundarias frente a la base de usuarios y la cultura, y aunque las funciones influyen mucho en esa cultura, siguen siendo secundarias
      Es parecido a los juegos multijugador, los lugares de reunión y los terceros lugares
      En muchos grupos, xitter es la plataforma predeterminada. Por ejemplo, artistas de contenido adulto con estilo anime la usan como principal canal de publicación, y muchas empresas publican ahí noticias inmediatas como caídas de servicio o cambios en horarios de atención. Solo con eso ya hay razones suficientes para que la gente se quede
    • Dejé de usar X cuando Elon la compró, y cuando Elon se inclinó por completo hacia el lado MAGA-nazi, finalmente borré una cuenta que tenía desde hacía mucho. Era usuario temprano, desde antes de que Twitter se popularizara, pero no me arrepiento
    • Incluso la Unión Europea todavía mantiene X como plataforma principal: https://european-union.europa.eu/index_en
    • Algunas personas inteligentes y perspicaces, por alguna razón, solo publican en X. Ojalá eligieran otro sitio, pero no veo un gran daño en seguirlas ahí
      Supongo que también hay muchos amigos o familiares fuera del ámbito tech que solo publican en una red social. En algún momento me creé cuentas en varios sitios para seguir en contacto con viejos amigos
    • Paradójicamente, para contrarrestar la propaganda de Elon y gente parecida, todavía es la mejor plataforma en términos de alcance
  • Busqué qué es exactamente un enlace de signal.me, y parece que los detalles están aquí
    https://signal.miraheze.org/wiki/Signal.me_URLs
    https://signal.miraheze.org/wiki/Usernames#Username_links
    Un enlace de Signal.me no es más que una forma sencilla de enviar a otra persona un número de teléfono o nombre de usuario; no tiene verificación criptográfica de identidad ni protección del número de teléfono o del nombre de usuario. Para eludir el bloqueo, un usuario de Signal simplemente puede enviar su número de teléfono o nombre de usuario por Twitter/X
    El formato de nombre de usuario cifrado es revocable, así que ofrece cierta protección de identidad, pero mientras está activo parece que alguien puede preguntar al servidor de Signal cuál es el nombre de usuario asociado
    Para empezar, sería mejor no usar Twitter/X para este propósito. Mastodon viene a la mente como alternativa, pero en realidad casi cualquier otra cosa sería mejor

    • Los enlaces de signal.me se usan para unirse a grupos de Signal o promocionarlos
    • Un nombre de usuario no necesariamente está vinculado a una identidad real, y también se puede ocultar el número de teléfono
      No es la explicación más rara para defender a Elon Musk y las políticas de censura de X, pero sin duda está entre las cinco primeras
  • Es especialmente irónico si se considera que se sabe que DOGE usa Signal como plataforma de comunicación. [1]
    [1] https://news.ycombinator.com/item?id=42579873

    • Si fuera un departamento oficial del gobierno, estaría sujeto a solicitudes FOIA, y por lo tanto tendría la obligación de conservar documentos, lo cual es interesante
    • Elon también usa Signal personalmente, así que, si aún no se corrigió, me inclino a pensar que es un error legítimo que se corregirá pronto
  • Estoy casi seguro de que es porque, al quitar lo que va después de #, en la práctica todos los enlaces de signal.me se vuelven iguales.
    Al hacer una solicitud HTTP(S), la parte de la URL que va después de # nunca se envía, y esa parte solo la interpreta el propio navegador web. Es muy probable que el sistema antispam también haya ignorado por completo el hash de la misma manera.
    Ejemplo de enlace bloqueado: https://signal.me/#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHGbYw...
    También se bloquea la forma sin el hash: https://signal.me/
    Si se agrega cualquier texto en la ruta, no se bloquea. Ej.: https://signal.me/abc#eu/P01wpUmC4nT2BBTwMrPAw7Nxcp81055tKHG...

  • Como tenía algo de tiempo en la mañana, hice un sitio sencillo para poder compartir enlaces de Signal en X.
    https://link-in-a-box.vercel.app
    Si conocen a alguien a quien le pueda servir, estaría bueno que lo compartan; y si tienen feedback, agradecería que me lo manden.

    • Este comentario se publicó y luego volvió a recibir votos negativos; si tienen tiempo, les agradecería que dejaran feedback.
      Como la gente ya empezó a usarlo, si hay algún problema quiero poder responder o corregirlo cuando haga falta.
  • En un contexto similar, las Fuerzas Armadas de Suecia recomendaron a quienes trabajan en asuntos militares usar Signal para llamadas y mensajes que no sean de un nivel superior de confidencialidad.
    https://cornucopia.se/2025/02/forsvarsmakten-infor-krav-pa-s... (en sueco)

  • Esto del absolutismo de la libertad de expresión sí que es duro.

  • Libertad de expresión para ustedes, pero no para mí.

    • ¿Por qué? ¿Acaso Musk sí puede publicar enlaces de signal en X sin problemas?
    • Algunas libertades de expresión son más libres que otras. /s
  • Visto desde aquí, me dio curiosidad que la propiedad de signal.me estuviera bastante oculta detrás de Cloudflare y privacidad WHOIS.
    No es buena idea hacer esto con un dominio de infraestructura. Dificulta la revisión manual y fomenta bloqueos excesivos persistentes.
    Aun así, hay documentación oficial que menciona signal.me: https://support.signal.org/hc/en-us/articles/360007320291-Fi...
    Esta página está indexada en Bing, pero en los motores de búsqueda “signal.me” parece tratarse como una palabra vacía.