ProtonMail eliminó “no guardamos ningún registro de IP” de su política de privacidad

ProtonMail ofrece cifrado de extremo a extremo y un enfoque declarado en la privacidad para su servicio de correo electrónico, que ofrece una interfaz de usuario bastante similar a las de los servicios más convencionales como Gmail.
Agrandar / ProtonMail ofrece cifrado de extremo a extremo y un enfoque declarado en la privacidad para su servicio de correo electrónico, que ofrece una interfaz de usuario bastante similar a las de los servicios más convencionales como Gmail.

Este fin de semana, noticias rompió

Ese servicio de correo electrónico anónimo centrado en la seguridad / privacidad ProtonMail entregó la dirección IP y la huella digital del navegador de un activista climático francés a las autoridades suizas. Este movimiento aparentemente iba en contra de las políticas del conocido servicio, que tan recientemente como la semana pasada fijado que “de forma predeterminada, no guardamos ningún registro de IP que pueda vincularse a su cuenta de correo electrónico anónimo”.

Después de proporcionar los metadatos del activista a las autoridades suizas, ProtonMail eliminó la sección que prometía no tener registros de IP y la reemplazó por una que decía: “ProtonMail es un correo electrónico que respeta la privacidad y pone a las personas (no a los anunciantes) en primer lugar”.

Sin registro “por defecto”

Como de costumbre, el diablo está en los detalles: la política original de ProtonMail simplemente decía que el servicio no guarda registros de IP “por defecto”. Sin embargo, como empresa suiza, ProtonMail estaba obligada a cumplir con una orden judicial suiza exigiendo que empezar registrar la dirección IP y la información de huellas dactilares del navegador para una cuenta de ProtonMail en particular.

Esa cuenta fue operada por el capítulo parisino de Juventud por el clima, que Wikipedia describe como un Greta Thunberg-movimiento inspirado en los estudiantes de la escuela que se saltan las clases de los viernes para asistir a las protestas.

Según múltiples declaraciones ProtonMail emitido el lunes, la compañía no pudo apelar la demanda suiza de registro de IP en esa cuenta. El servicio no pudo apelar porque de hecho se había violado una ley suiza y porque se utilizaron “herramientas legales para delitos graves”. ProtonMail no cree que las herramientas fueran apropiadas para el caso que nos ocupa, pero la empresa era legalmente responsable de cumplir con su uso.

Rompe tu navegador Tor

Además de eliminar la referencia engañosa (si es técnicamente correcta) a su política de registro “predeterminada”, ProtonMail se comprometió a enfatizar el uso de la red Tor para los activistas. La nueva sección “sus datos, sus reglas” en la página principal de ProtonMail enlaza directamente a una página de destino que agrega información sobre el uso de Tor para acceso

ProtonMail.

El uso de Tor para acceder a ProtonMail puede lograr lo que ProtonMail por sí mismo legalmente no puede: la ofuscación de las direcciones IP de sus usuarios. Dado que la propia red Tor oculta el origen de la red de los usuarios antes de que los paquetes lleguen a ProtonMail, incluso una citación válida no puede sacar esa información de ProtonMail, porque la empresa nunca recibe los datos en primer lugar.

Vale la pena señalar que el anonimato ofrecido por Tor se basa en medios técnicos, no en políticas, una situación que podría servir como un ejemplo de libro de texto de una espada de doble filo. Si una agencia gubernamental u otra amenaza pueden comprometer los nodos Tor por los que pasa su tráfico de una manera que le ofrezca una forma de rastrear los orígenes, no existe ninguna política que impida que dicho gobierno lo haga, o que use esos datos para fines de aplicación de la ley.

ProtonMail también opera un servicio VPN llamado ProtonVPN y señala que la ley suiza prohíbe a los tribunales del país obligar a un servicio VPN a registrar direcciones IP. En teoría, si Youth for Climate hubiera utilizado ProtonVPN para acceder a ProtonMail, la corte suiza no podría haber obligado al servicio a exponer su dirección IP “real”. Sin embargo, la compañía parece inclinarse más hacia la recomendación de Tor para este propósito en particular.

Hay mucho que un servicio de correo electrónico puede cifrar

ProtonMail también tiene cuidado de señalar que aunque la dirección IP de su usuario y la huella digital del navegador fueron recopiladas por las autoridades suizas que actúan en nombre de Interpol, las garantías de correo electrónico de la empresa contenido la privacidad no fue violada.

El servicio utiliza cifrado de extremo a extremo y deliberadamente no posee la clave necesaria para descifrar el cuerpo o los archivos adjuntos del correo electrónico de un usuario. A diferencia de la recopilación de la dirección IP de origen y la huella digital del navegador, la recopilación de esos datos no es posible simplemente cambiando una configuración en los propios servidores de la empresa como lo exige una orden judicial.

Aunque ProtonMail puede cifrar el cuerpo del correo electrónico con claves que no están disponibles para los servidores que los procesan, el protocolo SMTP requiere que el remitente del correo electrónico, el destinatario del correo electrónico y las marcas de tiempo de los mensajes sean accesibles desde el servidor. El acceso al servicio a través de Tor o una VPN puede ayudar a ocultar las direcciones IP y las huellas dactilares del navegador, pero el servicio aún puede estar legalmente obligado a proporcionar cualquiera de esos campos a las autoridades suizas.

Además, las líneas de asunto del correo electrónico podría también se cifrará sin romper el protocolo SMTP, pero en la práctica, el servicio de ProtonMail no lo hace, lo que significa que los tribunales pertinentes pueden obligar al servicio a proporcionar esos datos también.

Imagen de listado de ProtonMail

Leave a Reply

Your email address will not be published. Required fields are marked *