Keybase comenzó como el «proyecto de pasatiempo» del cofundador y desarrollador Max Krohn: una forma para que las personas compartan claves PGP con una simple búsqueda basada en el nombre de usuario. Luego, Chris Coyne (quien también fue cofundador de OkCupid y SparkNotes) se involucró y recibió $10.8 millones en fondos de un grupo de inversionistas liderado por Andreesen Horowitz. Y luego las cosas se complicaron cada vez más. Keybase tiene como objetivo hacer que el cifrado de clave pública sea accesible para todos, desde la mensajería hasta el intercambio de archivos y el lanzamiento de algunas monedas criptográficas en el camino de alguien.
Pero debido a ese nivel de accesibilidad, Keybase se enfrenta a un tipo de problema muy OkCupid: después de atraer a personas interesadas en comunicaciones sencillas basadas en criptografía de clave pública y luego atraer a amantes de blockchain con su asociación con (y financiación de) Stellar.org, Keybase también ha atraído a spammers y estafadores. Y eso ha traído una gran cantidad de alertas y mensajes que han convertido lo que alguna vez fue un canal de comunicación bastante claro en uno obstruido con alertas no deseadas, mensajes y otras cosas desagradables, lo que generó un coro de quejas en el canal de chat abierto de Keybase.
Resulta que hay una razón por la que el corrector ortográfico sigue queriendo decirme que Keybase debería escribirse «debase».
Divulgación completa: he sido usuario de Keybase durante varios años, y el editor de Ars Lee Hutchinson y yo habíamos experimentado con el uso de Keybase como una forma potencial de asegurar parte de nuestro flujo de trabajo. No necesitar a nadie para hospedar (y por lo tanto poseer) nuestros datos parecía algo bueno. Pero Lee canceló recientemente su cuenta de Keybase y dice que no volverá por lo molesto que es.
El liderazgo de Keybase promete hacer algo para solucionar el problema del spam, o al menos facilitar la denuncia y el bloqueo de los abusadores. En una publicación de blog, Krohn y Coynes escribieron: «Para ser claros, el volumen actual de spam no es grave, TODAVÍA. Keybase aún funciona muy bien. Pero debemos actuar con rapidez».
Pero las medidas prometidas por Keybase no eliminarán por completo el problema. Y los ejecutivos de Keybase no tienen interés en involucrarse en pasos adicionales que ven como censura. «Keybase es una empresa privada y conservamos nuestros derechos de expulsar a la gente», dijeron los cofundadores en la publicación del blog. «Ese martillo no se usará porque a alguien no le gusta, siempre que juegue bien en Keybase».
Romanzando la estafa
Parte del atractivo de Keybase es que permite el acceso sin problemas desde la red anonimizadora de Tor, así como desde las VPN, lo que dificulta rastrear la fuente del tráfico abusivo a través del servicio. Pero gran parte del tráfico de spam se realiza a través de conexiones de red no ofuscadas, y aunque parte proviene de Europa y América del Norte, la mayor parte proviene de direcciones IP rusas y nigerianas.
Otras plataformas han visto el mismo tipo de problema. Los estafadores de romance comenzaron en las plataformas de mensajería instantánea y rápidamente pasaron a las aplicaciones de citas. A principios de esta década, OkCupid se convirtió en una guarida para estas estafas, donde alguien (a menudo en Nigeria) se hace pasar por alguien que busca el amor y luego mueve la conversación hacia las súplicas de apoyo financiero, tarjetas telefónicas u otras inversiones. Y como informé a principios de este año, estas y otras estafas se han apoderado de Twitter.
En este momento, es posible (con un poco de navegación) bloquear a alguien para que no le envíe mensajes en Keybase y oculte los mensajes que envía. Pero no hay una forma efectiva de denunciarlos por abuso que no sea comunicarse directamente con los administradores. Y no hay forma de filtrar por completo las solicitudes en primer lugar, ya que cualquiera puede crear una cuenta de Keybase y enviarle un mensaje.
-
Un estafador de romances me golpea.
-
Estoy seguro de que esto es legítimo.
-
Seguro que eres.
-
Este perfil utiliza una cuenta de Twitter para verificar, pero…
-
Esa cuenta de Twitter seguro que es convincente.
Habla con el bloque
Como parte de los cambios en Keybase que se lanzarán en una próxima versión, los usuarios ahora podrán denunciar spam o mensajes abusivos directamente desde la interfaz de chat de Keybase, bloqueando a ese usuario con un clic o tocando, con la opción de denunciar al usuario a Keybase. administradores El informe permite clasificar rápidamente el mensaje como spam, acoso, «material obsceno» u «otro», con un campo para detalles adicionales. «También podrá enviar a los administradores de Keybase la transcripción de su chat, algo a lo que obviamente no tenemos acceso, ya que Keybase está encriptado de extremo a extremo», explicaron los ejecutivos de Keybase en su publicación.
Otra medida que Keybase llama la «opción nuclear» también está en proceso. Similar a las capacidades de la cuenta protegida de Twitter, permite a los usuarios seleccionar un conjunto de reglas que determinan quién puede seguirlos o enviarles un mensaje, en función de si ya están conectados de alguna manera. «Estas opciones crearán una experiencia personalizada de jardín amurallado». explicaron los ejecutivos de Keybase. «No será necesario para la mayoría de las personas, especialmente después del lanzamiento de las funciones de bloqueo, pero cerrará al 100% todos los contactos no deseados».
Se prometen más correcciones en el futuro. Teniendo en cuenta que Keybase ya proporciona formas para que las personas certifiquen sus identidades para brindar confianza en las comunicaciones, sería concebible que pudiera filtrar las solicitudes en función de la calidad y la cantidad de esas atestaciones: confirmaciones realizadas mediante la publicación de mensajes en cuentas de redes sociales, cuentas de GitHub y otras cuentas que están conectadas a la identidad en línea (la mía está vinculada a Twitter, GitHub, Hacker News, Reddit y un nombre de dominio personal, así como mi clave PGP). La mayoría de las cuentas fraudulentas no se molestan con nada más que la dirección de billetera Stellar gratuita, y las que lo hacen a menudo adjuntan una cuenta de Twitter falsa.
Nada de esto traerá de vuelta a Lee Hutchinson. «Cuando una herramienta que no necesito o en la que no pienso muy a menudo comienza a enviarme spam y requiere que busque documentación para detener el spam», dijo Lee, «no voy a quitarle tiempo a mi [redacted] día para leer los documentos y jugar con la configuración de privacidad. Voy a eliminar la herramienta. Lo cual hice.»
