Molly: una versión de código abierto independiente que mejora la app Signal

 (molly.im)
3 puntos por GN⁺ 2025-11-29 | 1 comentarios | Compartir por WhatsApp
  • Molly es un mensajero completamente de código abierto (FOSS) para Android como un fork de Signal con seguridad y mayor control del usuario
  • No incluye código propietario, y protege los datos al cifrar la base de datos con una frase de contraseña (Passphrase)
  • Permite conectar varios dispositivos a una sola cuenta y ofrece una interfaz con tema Material You ajustada a la paleta de colores del dispositivo
  • Mejora la seguridad con un sistema de notificaciones sin Google mediante UnifiedPush y con bloqueo automático
  • Incluye funciones de seguridad adicionales como RAM Shredding y contempla planes de expansión de nuevas funcionalidades para el futuro

Resumen de Molly

  • Molly es un fork independiente de Signal para Android, en una versión que mejora las funcionalidades de la app original
    • Conserva la filosofía de seguridad y privacidad de Signal, mientras elimina componentes propietarios
    • Se ofrece como Software Libre y de Código Abierto (FOSS) para asegurar la transparencia

Funciones de seguridad principales

  • Usa cifrado por frase de contraseña (Passphrase Encryption) para proteger la base de datos
    • Estructura destinada a proteger los mensajes y metadatos del usuario
  • La función de RAM Shredding elimina de forma segura los datos sensibles que quedan en memoria
  • La función de bloqueo automático (Automatic Locking) bloquea la app automáticamente tras un tiempo de inactividad

Experiencia de usuario y diseño

  • Soporta tema Material You para ofrecer una interfaz coherente acorde a la paleta de colores del dispositivo
  • La función de conexión multidispositivo (Multi-Device) permite usar una cuenta simultáneamente en varios dispositivos

Notificaciones y estructura de mensajería

  • Adopta un sistema de notificaciones sin Google mediante UnifiedPush
    • Una arquitectura para entregar notificaciones sin depender de Google Play Services

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-29
Opiniones en Hacker News

  • Usé Molly por más de un año, y un día de repente desapareció el registro del dispositivo y ya no pude volver a registrarlo en el servidor
    La función de respaldo tampoco funcionó, así que quedé completamente bloqueado durante varios días, y al final tuve que volver a Signal y crear una base de datos nueva
    Fue una experiencia realmente terrible

    • Yo también pasé por casi exactamente el mismo problema con la app oficial de Signal
      Uso Signal/Molly porque mis amigos lo usan y no me queda de otra, pero las apps competidoras también son un desastre parecido
      No entiendo por qué todavía nadie ha logrado hacer un cliente de IM decente. Siento que no hemos avanzado mucho desde la época de Pidgin

  • El proyecto Whisperfish es un mensajero de Signal para Sailfish OS, y mantiene una biblioteca independiente de cliente Signal escrita en Rust
    Funciona bastante bien mientras Signal no cambie el protocolo ni bloquee a los clientes no estándar
    Ver proyecto Whisperfish y biblioteca Presage

    • Como referencia, esta biblioteca depende de libsignal

  • Sobre la pregunta de “qué proprietary blobs tiene Signal”, según el readme de GitHub incluye FCM y Google Maps
    En realidad FCM no requiere necesariamente blobs, pero Google hizo que pareciera que sí
    Cuando lo hice ingeniería inversa por mi cuenta, vi que era solo un wrapper excesivo alrededor de dos receptores de broadcast
    Por eso la app de Mastodon se convirtió en la primera app hecha 100% open source que soporta notificaciones push de FCM

    • También incluye Firebase y GMS
      Para usuarios cuyo modelo de amenaza incluye a Alphabet, la filtración de metadatos puede resultar desagradable
      Molly tiene una versión que usa Firebase y una versión Molly-FOSS que usa UnifiedPush
      Incluso hay un tuit donde GrapheneOS certificó oficialmente a Molly
    • Aun así, está bien que existan clientes alternativos
      Es irónico que un mensajero con E2EE se bloquee para protegerse más a sí mismo que al usuario
      Hubo una época en la que los usuarios podían manejar libremente sus mensajes en sus propios dispositivos, incluso con scripts o automatización
      Pero eso era en la era previa al E2EE y previa al dominio móvil

  • La función estrella de esta app es que se puede instalar directamente desde F-Droid
    La he usado con satisfacción durante mucho tiempo, y agradezco al desarrollador

    • Como referencia, la página oficial de descarga del APK de Signal está aquí
    • También hay un build de Signal en el repositorio F-Droid de Guardian Project
    • Para mí, la mayor ventaja es el soporte para notificaciones de UnifiedPush. Signal solo soporta websocket y FCM
    • Buena información. Creo que mi entorno de uso será mucho más cómodo

  • Quiero un protocolo unificado y un cliente elegido por mí, no otra app de chat nueva

  • Signal en Android no soporta el modo de app complementaria para tablet
    Por eso, si quieres usar Signal en una tablet Android, tienes que usar Molly
    Desde que salió la Pixel Tab me cambié desde el iPad, y ha estado funcionando bastante estable

  • Apostaría $50 a que esto probablemente sea algún intento de interferencia a nivel estatal
    Signal ya está lo bastante difundido como para que la mayoría de mis amigos lo use, y convencerlos de pasarse a otra app es casi imposible
    No hay evidencia clara de que Signal sea inseguro

    • Pero me pregunto por qué deberíamos confiar en este tipo de servicio centralizado
      Me arrepiento de haber pasado a mi familia a Signal. No tengo control de los datos y dependo de un servicio basado en EE. UU.
      Si se aprueba la propuesta de Chat Control de la UE, este tipo de servicios centralizados será el primer objetivo
      Signal también debería ser criticado por estar basado en California
    • Como referencia, Molly usa los mismos servidores que Signal, así que los usuarios de ambas apps pueden enviarse mensajes y hacer llamadas sin problema
    • Signal siempre ha tenido controversias por la centralización
      El uso del número telefónico, el descubrimiento de contactos y la criptomoneda MOB hicieron que surgieran alternativas como Matrix o Molly, pero siguen siendo de nicho
    • Si es una interferencia, aun así parece un intento ambicioso de resolver problemas antiguos de Signal

  • Me pregunto si volvieron a agregar la función de respaldo a SMS
    Si no, seguiré usando Matrix. Ofrece una privacidad al nivel de Signal y una UX al nivel de Discord

    • Me da curiosidad qué app cliente de Matrix usas
      Después del IPO de Discord probé Revolt (ahora Stoat Chat) para reemplazarlo, pero el screen sharing y la cancelación de ruido de Discord son demasiado buenos
      En Element había demasiado ruido de fondo y era difícil conversar
    • Pero el nivel de privacidad de Matrix no se puede comparar con el de Signal

  • Mi mayor queja con la app de Signal es la UI/UX y la falta de funciones
    Francamente el diseño se siente tosco, y funciones como compartir ubicación en vivo o mensajes de sincronización multidispositivo parecen poco probables bajo la estrategia actual
    Y aun así, al ver que no hay ni una sola captura de pantalla en el sitio oficial, parece que esta “versión mejorada” no refleja en nada lo que yo quiero

    • Yo también revisé la app store y GitHub buscando capturas de pantalla, pero no encontré nada
      Es raro destacar el tema “Material You” y no mostrar ni una sola captura
    • Pienso lo mismo. Hasta abrí GitHub, pero no hay ninguna imagen
    • En cambio, a mí la UI de Signal me parece suficientemente buena. No soy diseñador de GUI, pero no sé qué sería mejor

  • Me pregunto si es una app como Signal que obliga a actualizar periódicamente
    Yo quiero una app que no necesite actualizaciones — aunque al final eso sería el correo electrónico

    • ¿Por qué querrías una app que no necesite actualizarse?
      Eso significa dejar intactos los bugs y las vulnerabilidades de seguridad
      Signal solo bloquea cuando hay parches de seguridad, y el intervalo es mucho más largo que unas pocas semanas
    • Si no actualizas, podrías quedar expuesto a un zero-click exploit. Sería una vulnerabilidad que ya fue corregida en otros lados