¿Qué datos se almacenan?
Hace casi un año, eliminamos las aplicaciones para smartphones «ProtonMail» y «Wire» de XStealth y XStealth Lite. En su momento, tuvimos algunas sospechas sobre la gestión de la IP de los usuarios y su encriptación real, que ahora han resultado ser una evidencia.
Sin embargo, antes de proceder a la investigación, tenemos que recordar nuestro enfoque de la encriptación: está pensada para la gente corriente y sólo te defiende de (algunos) hackers. Cualquier protección que se quiera obtener de la encriptación no es suficiente contra las fuerzas del orden, la policía, la seguridad nacional, etc. ….
¿Por qué? Sencillamente porque existe una clave maestra para todas las soluciones de encriptación, ya sea correo electrónico, SMS, VOIP, etc., llamada orden de escucha.
«No importa el servicio que utilice, a menos que esté a 15 millas de la costa en aguas internacionales, la empresa debe cumplir la ley.»
– escribió Andy Yen, director de ProtonMail, en una entrada del blog.
El pasado fin de semana estalló un escándalo en torno al servicio de correo electrónico seguro ProtonMail: la dirección del servicio anunció que recientemente se había visto obligada a revelar la dirección IP de uno de sus clientes porque ProtonMail había recibido una orden de las autoridades suizas que no podía ser recurrida ni rechazada.
El incidente está relacionado con una serie de protestas contra la gentrificación que tuvieron lugar en París en el verano y otoño de 2020. En ese momento, un grupo de activistas de Youth for Climate ocupó varias plazas y edificios de París para protestar contra las empresas que compraban propiedades y cuadriplicaban los alquileres a los residentes.
Los activistas utilizaron la bandeja de entrada de ProtonMail para organizar protestas (jmm [***] @ protonmail.com), que atrajeron la atención tanto de las empresas inmobiliarias como de la policía francesa.
La semana pasada, Paris Luttes informó de que la policía francesa y Europol se habían puesto en contacto con el gobierno suizo para que les ayudara a obtener datos sobre la identidad del propietario del buzón.
«Proton recibió una orden jurídicamente vinculante del Departamento Federal de Justicia y Policía, que tuvimos que cumplir. Según la legislación suiza, el sospechoso debe ser notificado de que se ha solicitado su información, lo que no ocurre en la mayoría de los países». – ProtonMail lo explica.
Sin embargo, Andy Yen dijo que una orden de confidencialidad separada no permitió a la empresa informar a tiempo al usuario sobre lo que estaba sucediendo. Esto significa que el servicio se vio obligado a almacenar la dirección IP que el activista francés utilizó para conectarse a su buzón de correo en ProtonMail y transmitirla a las autoridades.
«Proton puede verse obligado a recopilar información sobre las cuentas de los usuarios que están sujetos a un proceso penal en Suiza. Por supuesto, esto no ocurre por defecto, sino sólo cuando Proton recibe una orden legal para una cuenta específica. Internet no suele ser anónimo, y si infringe la ley suiza, una empresa respetuosa con la ley como ProtonMail puede verse obligada legalmente a conservar su dirección IP».
Al hacerlo, Ian trató de defender el sistema jurídico suizo en su conjunto:
«El sistema jurídico suizo no es perfecto, pero tiene una serie de controles y equilibrios, y cabe señalar que incluso en este caso se requirió la aprobación de tres organismos de dos países, lo cual es un obstáculo bastante alto que impide la mayor parte de los abusos del sistema (pero no todos). […] Por último, Suiza no suele ser propicia a los procesos de países donde no hay un sistema de justicia justo».
Naturalmente, a los usuarios de ProtonMail no les ha gustado esta novedad. Muchos recordaron que el servicio ProtonMail ha sido utilizado por operadores de ransomware, extorsionistas y otros delincuentes durante muchos años, pero la dirección de la empresa terminó ayudando con la investigación, que estaba dirigida al activista y no a la detención de otro grupo extorsionista.
ProtonMail también ha sido objeto de fuertes críticas por su marketing, al prometer a los usuarios «correos anónimos» durante años, aunque su último informe de transparencia muestra que el número de demandas que recibe la empresa por parte de las autoridades crece exponencialmente, pasando de 13 solicitudes en 2017 a 3.572 el año pasado (195 de ellas de extranjeros).
Como resultado, la empresa cambió su política de privacidad, que hasta hace poco decía: «Por defecto, no registramos las direcciones IP que puedan asociarse a su cuenta de correo electrónico anónima». Ahora se ha eliminado la frase «no registramos las direcciones IP» y se ha sustituido por la siguiente:
«ProtonMail es un correo electrónico que respeta la privacidad y pone a las personas (no a los anunciantes) en primer lugar».
¿Miente ProtonMail sobre su encriptación?
En respuesta a Nadim Kobeissi y LiveOverflow
