ProtonMail, proveedor de correo electrónico 'seguro', entregó los datos del usuario a las fuerzas del orden

Política


ProtonMail, proveedor de correo electrónico 'seguro', entregó los datos del usuario a las fuerzas del orden

Los expertos en privacidad lo consideran uno de los proveedores de correo electrónico más seguros de Internet, pero la reciente decisión de ProtonMail de entregar información confidencial de los clientes a las fuerzas del orden europeas está planteando dudas sobre si los reclamos de privacidad de la empresa son menos una promesa y más un espejismo.

Después de que la policía francesa solicitara, a través de Europol, que las autoridades suizas compartieran la dirección IP de un activista climático, el proveedor de correo electrónico cifrado de extremo a extremo ProtonMail compartió la información del usuario. (ProtonMail, con sede en Suiza, no está sujeta a la jurisdicción francesa o de la UE, pero ProtonMail está obligado a responder a las autoridades suizas).


La policía francesa encontró la dirección de correo electrónico en el curso de la investigación de un grupo que ha estado protestando por la gentrificación en un barrio de moda de París desde finales de 2020, y quería saber quién estaba detrás, según fuentes de noticias locales. La investigación ha dado lugar a una serie de detenciones sobre el terreno.

“Proton debe cumplir con la ley suiza. Tan pronto como se comete un delito, las protecciones de privacidad pueden suspenderse y la ley suiza nos exige que respondamos a las solicitudes de las autoridades suizas ', dijo el fundador de ProtonMail. Andy Yen tuiteó .

Pero en su sitio, ProtonMail ha afirmado en el pasado que “No se requiere información personal para crear su cuenta de correo electrónico segura. De forma predeterminada, no guardamos ningún registro de IP que pueda vincularse a su cuenta de correo electrónico anónimo. Tu privacidad es lo primero '. Y desde TechCrunch informó por primera vez que la compañía compartió la información confidencial de uno de sus usuarios con la policía, algunos usuarios de ProtonMail están comenzando a cuestionar si el proveedor de correo electrónico llamado 'anónimo' ha tenido dos caras en sus afirmaciones de que antepone la privacidad del usuario.

Los usuarios pueden frustrarse con ProtonMail todo lo que quieran, pero el cumplimiento de la empresa con las autoridades suizas está fuera de las manos de la empresa, según Matthieu Audibert , un experto cibernético que trabaja para las fuerzas del orden francés.


“Veo gente que está molesta por la respuesta de ProtonMail, pero es porque un tribunal suizo consideró válida la solicitud y porque efectivamente se cometió un delito en Francia”, dijo Audibert.

Pero aún no está claro si ProtonMail ha sido poco sincero sobre sus políticas de privacidad. Ahora que está bajo fuego por compartir información de direcciones IP con las autoridades, la empresa ha comenzado a cambiar algunos de sus materiales de marketing; En los últimos días, la compañía eliminó la afirmación de que no guarda registros de IP de su sitio web.

'Si está infringiendo la ley suiza, ProtonMail puede ser obligado legalmente a registrar su dirección IP como parte de una investigación criminal suiza', dice ahora la política de privacidad de la empresa, pero en una sección etiquetada como 'Anónimo', el sitio web de la empresa todavía afirma que, 'A diferencia de los servicios de correo electrónico de la competencia, no te rastreamos'.

Lo que la gente suele perder al suscribirse a servicios como ProtonMail es si la empresa realiza un seguimiento de los metadatos, como las direcciones IP o el contenido de los correos electrónicos, según la directora de ciberseguridad de la Electronic Frontier Foundation, Eva Galperin.


La información del usuario que la empresa puede compartir con las autoridades suizas incluye la dirección de correo electrónico, las líneas de asunto del correo electrónico, las direcciones de correo electrónico del remitente o del destinatario, la última hora de inicio de sesión y las direcciones IP de los mensajes entrantes, de acuerdo con la política de ProtonMail.

“La privacidad y la seguridad no son una especie de varita mágica en la que simplemente usas las herramientas adecuadas y mueves la varita y todo es seguro y privado 'por siempre jamás, amén'”, dijo Galperin a The Daily Beast.

Sin embargo, como proveedor de correo electrónico cifrado de extremo a extremo, ProtonMail no puede compartir el contenido de los correos electrónicos con las fuerzas del orden.

El cifrado de extremo a extremo no siempre protegerá el contenido de los correos electrónicos en los casos en que los destinatarios hagan capturas de pantalla o reenvíen correos electrónicos a otras partes, por supuesto. La encriptación de un extremo a otro, y su capacidad para mantener los mensajes de los usuarios totalmente privados, es tan buena como la confianza que los usuarios tienen en las otras personas con las que se comunican, advierten los expertos en seguridad.


Otros proveedores de servicios cifrados de extremo a extremo están comenzando a intervenir en el alboroto. Extender la verdad en los materiales de marketing sobre la privacidad no es útil en ningún caso, advierte el popular proveedor de correo electrónico cifrado de extremo a extremo Tutanota.

'Los servicios centrados en la privacidad deben ser muy precisos cuando se trata de marketing, en particular para no exagerar sus promesas', dijo a The Daily Beast la jefa de marketing de Tutanota, Hanna Bozakov. “Por eso, en nuestra opinión, la privacidad y la seguridad van de la mano con la transparencia. Como servicio centrado en la privacidad, debe ser muy transparente, especialmente cuando las cosas van mal '.

Si bien ProtonMail siempre ha dejado en claro que es una empresa con sede en Suiza y que responderá a las órdenes judiciales, su publicidad sobre privacidad se ha quedado corta, dijo Galperin.

'Si echas un vistazo al marketing y la publicidad de ProtonMail, verás que se anuncian a sí mismos como un servicio de correo que protege la privacidad ... dan mucha importancia al hecho de que no registran direcciones IP', dijo Galperin a The Daily Beast. .

Abundan otras preocupaciones. ProtonMail dijo en un comunicado sobre el incidente de que 'la única ley que importa es la ley suiza', una afirmación que no es del todo cierta. Las autoridades suizas trabajan claramente con otros gobiernos, como se demuestra en este caso.

Galperin dijo que, al decidirse por un proveedor de servicios de correo electrónico, una plataforma de mensajería o una VPN, las personas deben considerar qué riesgos están dispuestos a tomar y deben tener en cuenta el hecho de que los gobiernos cooperan entre sí.

'Es muy importante entender que algunos gobiernos cooperan con otros gobiernos', dijo Galperin a The Daily Beast. 'Si utiliza un servicio que sabe que no responde a las órdenes judiciales de un gobierno en particular, y le preocupan las órdenes judiciales de un gobierno en particular, entonces ese es un lugar seguro para su modelo de amenaza'.

ProtonMail se negó a comentar sobre esta historia.

ProtonMail no es ajeno a las herramientas que ayudan a los usuarios a evitar el monitoreo. La compañía permite a los clientes usar Tor para acceder a sus cuentas de ProtonMail y posiblemente evitar cualquier monitoreo. La empresa también tiene un servicio VPN que podría enmascarar las direcciones IP de los usuarios. Si el activista climático se hubiera aprovechado de esas herramientas, es posible que no las hubieran descubierto ni arrestado.

'Este usuario en particular nunca habría sido anonimizado si siempre hubiera iniciado sesión en su cuenta usando Tor', teorizó Galperin a The Daily Beast.

ProtonMail también aborda algunas de las solicitudes de las autoridades suizas y las impugna. Solo el año pasado, la compañía respondió a 750 solicitudes, según cifras que la compañía enumeró en un informe de transparencia.

Es casi seguro que este no es el final de este tipo de incidentes, según Tresorit, otra plataforma suiza de cifrado de extremo a extremo. Es probable que la cantidad de este tipo de incidentes, en los que los proveedores comparten información sobre los usuarios con las fuerzas del orden público, solo aumente en los próximos meses, según Gyorgy Szilagyi, director de productos de Tresorit.

'Como, afortunadamente, cada vez más personas se están cambiando a servicios cifrados de extremo a extremo para proteger sus datos, la cantidad de solicitudes de cumplimiento de la ley para estos servicios también está creciendo', dijo Szilagyi a The Daily Beast. 'Como estos servicios son incapaces de entregar contenidos, los metadatos serán aún más importantes'.

La noticia llega en un momento en que los funcionarios gubernamentales de todo el mundo han estado buscando varias formas de vencer a los proveedores de cifrado de extremo a extremo y degradar el cifrado. Las autoridades encargadas de hacer cumplir la ley han estado clamando durante años para eliminar el cifrado de extremo a extremo, alegando que obstaculiza sus investigaciones sobre los delincuentes.

“El cifrado de extremo a extremo todavía está bajo ataque ... Todos los días vemos nuevas propuestas que intentan presionar a las plataformas que brindan comunicaciones cifradas de extremo a extremo y permitir puertas traseras para la aplicación de la ley”, dijo Galperin. “Pero es muy importante resistir esas presiones para crear puertas traseras porque ... una vez que crea esa puerta trasera, la gente puede y será encontrada por personas que no quiere usarla. No puedes deshacer la creación de esa puerta trasera una vez que ya está allí. El riesgo de abuso es muy alto '.