Falsificar o cambiar el número de teléfono
¿Para qué sirve cambiar de número de teléfono y, sobre todo, qué protección le ofrece? ¿Es ésta la forma correcta de protegerse? Lea este artículo
Hace casi un año eliminamos las aplicaciones Proton Mail y Wire de XStealth y XStealth Lite. En ese momento teníamos algunas sospechas sobre la gestión de las IPs de los usuarios y el cifrado real, que ahora se han convertido en evidencia.
Pero antes de ir más lejos con la investigación, tenemos que recordarle nuestro enfoque cuando se trata de cifrado: es para uso de la gente común y sólo le defenderá contra (algunos) hackers. No le defenderá en absoluto contra las fuerzas del orden, Policía, Agencias de Seguridad Nacional y así sucesivamente. ¿Por qué? Simplemente porque hay una llave maestra para todas las soluciones de encriptación, no importa si es correo electrónico, SMS, VOIP, etc. que se llama orden de interceptación.
“No importa qué servicio utilices, si no está a 15 millas de la costa en aguas internacionales, la empresa estará obligada a cumplir la ley”.
– escribió Andy Yen, responsable de ProtonMail, en una entrada de su blog.
El pasado fin de semana estalló un escándalo en torno al servicio de correo electrónico seguro ProtonMail: la dirección del servicio anunció que recientemente se vio obligada a revelar la dirección IP de uno de sus clientes, ya que ProtonMail recibió una orden de las autoridades suizas que no se podía recurrir ni rechazar.
El incidente está relacionado con una serie de protestas contra la gentrificación que tuvieron lugar en París en verano y otoño de 2020. Entonces, un grupo de activistas de Juventud por el Clima tomó varias plazas y edificios de París, en protesta contra las empresas que compraban inmuebles y cuadruplicaban los alquileres a los residentes locales.
A continuación, los activistas utilizaron la bandeja de entrada de ProtonMail para organizar protestas (jmm [***] @ protonmail.com), lo que atrajo la atención tanto de las empresas inmobiliarias como de la policía francesa.
La semana pasada, Paris Luttes (París Lucha) informó de que la policía francesa y Europol se pusieron en contacto con el gobierno suizo y le pidieron ayuda, buscando detalles sobre la identidad del propietario del buzón.
“Proton recibió una orden jurídicamente vinculante del Departamento Federal de Justicia y Policía que debíamos cumplir. Según la legislación suiza, debe notificarse al sospechoso que se ha solicitado su información, lo que no ocurre en la mayoría de los países”. – explica ProtonMail.
Sin embargo, según Andy Yen, otra orden de confidencialidad no permitió a la empresa notificar a tiempo al usuario lo que estaba ocurriendo. Es decir, el servicio se vio obligado a guardar la dirección IP que el activista francés utilizó para acceder a su buzón en ProtonMail y entregarla a las autoridades.
“Proton puede verse obligado a recopilar información sobre cuentas pertenecientes a usuarios que estén siendo investigados penalmente en Suiza. Obviamente, esto no se hace por defecto, sino sólo si Proton recibe una orden legal para una cuenta específica. Internet no es anónimo en su mayor parte, y si usted está infringiendo la ley suiza, una empresa respetuosa con la ley como ProtonMail puede estar legalmente obligada a conservar su dirección IP.”
Al hacerlo, Ian intentó defender el sistema jurídico suizo en su conjunto:
“El sistema jurídico suizo no es perfecto, pero tiene una serie de controles y equilibrios, y vale la pena señalar que incluso en este caso, se requirió la aprobación de tres órganos de gobierno de dos países, que es un listón bastante alto que impide la mayoría (pero no todos) los abusos del sistema. […] Por último, Suiza no suele ser favorable a los procesamientos que proceden de países en los que no existe un sistema de justicia imparcial”.
Sin embargo, a los usuarios de ProtonMail, por supuesto, no les gustó lo ocurrido. Muchos recordaron que el servicio ProtonMail ha sido utilizado por operadores de ransomware, chantajistas y otros delincuentes durante muchos años, pero la dirección de la empresa acabó ayudando en la investigación, que se centró en el activista, y no en la captura de otro grupo extorsionador.
ProtonMail también ha sido muy criticada por su marketing, ya que la compañía lleva años prometiendo a los usuarios “correo electrónico anónimo”, aunque el último informe de transparencia muestra que el número de reclamaciones que recibe la empresa por parte de las autoridades crece exponencialmente, pasando de 13 solicitudes en 2017 a 3.572 el año pasado (195 de ellas extranjeras).
Como consecuencia, la compañía introdujo cambios en su política de privacidad, que hasta hace poco rezaba: “Por defecto, no mantenemos un registro de direcciones IP que puedan estar asociadas a su cuenta de correo anónima”. Ahora se ha eliminado la frase “no registramos las direcciones IP”, sustituyéndola por la siguiente frase “ProtonMail es un correo electrónico que respeta la privacidad y pone a las personas (no a los anunciantes) en primer lugar”.
En respuesta a Nadim Kobeissi y LiveOverflow
¿Para qué sirve cambiar de número de teléfono y, sobre todo, qué protección le ofrece? ¿Es ésta la forma correcta de protegerse? Lea este artículo
La posibilidad de ocultar tu ubicación actual mostrando tu ubicación en otro lugar. Descubre la diferencia entre una función real y las aplicaciones VPN superfluas. Más información
Este caso, descubierto por el investigador indio de ciberseguridad Anand Prakash, no era más que un error de programación y se denomina eufemísticamente IDOR, acrónimo de Insecure Direct Object Reference (Referencia Directa Insegura a Objetos).