ProtonMail, un servicio de correo electrónico alojado con un enfoque en las comunicaciones cifradas de extremo a extremo, ha enfrentado críticas después de un reporte policial mostró que las autoridades francesas lograron obtener la dirección IP de un activista francés que estaba utilizando el servicio en línea. La compañía se ha comunicado ampliamente sobre el incidente, afirmando que no registra direcciones IP de forma predeterminada y solo cumple con la regulación local, en ese caso la ley suiza. Aunque ProtonMail no cooperó con las autoridades francesas, la policía francesa envió una solicitud a la policía suiza a través de Europol para obligar a la empresa a obtener la dirección IP de uno de sus usuarios.
Durante el año pasado, un grupo de personas se apoderó de un puñado de locales comerciales y apartamentos cerca de la Place Sainte Marthe en París. Quieren luchar contra la gentrificación, la especulación inmobiliaria, Airbnb y los restaurantes de lujo. Si bien comenzó como un conflicto local, rápidamente se convirtió en una campaña simbólica. Ellos atrajeron titulares de los periódicos cuando comenzaron a ocupar un local alquilado por Le Petit Cambodge, un restaurante que fue blanco de los ataques terroristas del 13 de noviembre de 2015 en París.
El 1 de septiembre, el grupo publicó un artículo en Paris-luttes.info, un sitio web de noticias anticapitalista, que resume diferentes investigaciones policiales y casos legales contra algunos miembros del grupo. Según su historia, la policía francesa envió un Europol solicitud a ProtonMail para descubrir la identidad de la persona que creó una cuenta de ProtonMail; el grupo estaba usando esta dirección de correo electrónico para comunicarse. La dirección también se ha compartido en varios sitios web anarquistas.
Al día siguiente, @MuArF en Twitter compartido un resumen de un informe policial que detalla la respuesta de ProtonMail. Según @MuArF, el informe policial está relacionado con la investigación en curso contra el grupo que ocupó varios locales en los alrededores de Place Sainte-Marthe. Dice que la policía francesa recibió un mensaje sobre Europol. Ese mensaje contiene detalles sobre la cuenta de ProtonMail.
Esto es lo que dice el informe:
- La empresa PROTONMAIL nos informa que la dirección de correo electrónico ha sido creada el… La dirección IP vinculada a la cuenta es la siguiente:…
- El dispositivo utilizado es un … dispositivo identificado con el número …
- Los datos transmitidos por la empresa se limitan a eso debido a la política de privacidad de PROTONMAIL TECHNOLOGIES ”.
El fundador y director ejecutivo de ProtonMail, Andy Yen, reaccionó al informe policial en Twitter sin mencionar las circunstancias específicas de ese caso en particular. “Proton debe cumplir con la ley suiza. Tan pronto como se comete un delito, se pueden suspender las protecciones de privacidad y la ley suiza nos exige que respondamos a las solicitudes de las autoridades suizas ”, escribió.
En particular, Andy Yen quiere dejar claro que su empresa no cooperó con la policía francesa ni con Europol. Parece que Europol actuó como canal de comunicación entre las autoridades francesas y las suizas. En algún momento, las autoridades suizas se hicieron cargo del caso y enviaron una solicitud a ProtonMail directamente. La empresa hace referencia a estas solicitudes como “solicitudes extranjeras aprobadas por las autoridades suizas” en su informe de transparencia.
Heaven32 se puso en contacto con el fundador y director ejecutivo de ProtonMail, Andy Yen, con preguntas sobre el caso.
Una pregunta clave es exactamente cuándo se notificó al titular de la cuenta objetivo que las autoridades suizas habían solicitado sus datos, ya que, según ProtonMail, la notificación es obligatoria según la ley suiza.
Sin embargo, Yen nos dijo que, “por razones legales y de privacidad”, no puede comentar sobre detalles específicos del caso ni proporcionar “información no pública sobre investigaciones activas”, y agregó: “Debería dirigir estas consultas al Autoridades suizas “.
Al mismo tiempo, nos señaló esta página pública, donde ProtonMail proporciona información para las autoridades policiales que buscan datos sobre los usuarios de su servicio de correo electrónico cifrado de extremo a extremo, incluida la definición de una “política de notificación de usuarios de ProtonMail”.
En este caso, la empresa reitera que la ley suiza “exige que se notifique a un usuario si un tercero solicita sus datos privados y dichos datos se utilizarán en un proceso penal”; sin embargo, también señala que “en determinadas circunstancias” una notificación “Puede retrasarse”.
Según esta política, Proton dice que las demoras pueden afectar las notificaciones si: Existe una prohibición temporal de notificación por parte del propio proceso legal suizo, por orden judicial suiza o “ley suiza aplicable”; o cuando “con base en la información proporcionada por las fuerzas del orden, nosotros, a nuestra absoluta discreción, creemos que proporcionar un aviso podría crear un riesgo de lesión, muerte o daño irreparable a una persona o grupo de personas identificables”.
“Sin embargo, como regla general, los usuarios objetivo eventualmente serán informados y se les dará la oportunidad de oponerse a la solicitud de datos, ya sea por ProtonMail o por las autoridades suizas”, agrega la política.
Entonces, en el caso específico, parece probable que ProtonMail estuviera bajo orden legal para retrasar la notificación al titular de la cuenta, dado lo que parece ser hasta ocho meses entre el inicio del registro y la divulgación del mismo, o se le había proporcionado información de las autoridades suizas que le llevó a concluir que retrasar la notificación era esencial para evitar el riesgo de “lesiones, muerte o daños irreparables” a una persona o personas (NB: no está claro qué significa “daño irreparable” en este contexto, y si podría interpretarse en sentido figurado, como ‘daño’ a los intereses de una persona / grupo, por ejemplo, como una investigación criminal, no solo daños corporales, lo que haría que la política fuera considerablemente más amplia).
En cualquier escenario, el nivel de transparencia que otorga la ley suiza a las personas que tienen un requisito de notificación obligatoria cuando se solicitan los datos de una persona parece muy limitado si las mismas autoridades legales pueden, esencialmente, silenciar las notificaciones, potencialmente por largos períodos (aparentemente más de la mitad). un año en este caso específico).
Las divulgaciones públicas de ProtonMail también registran un aumento alarmante en las solicitudes de datos por parte de las autoridades suizas.
Según su informe de transparencia, ProtonMail recibió 13 pedidos de las autoridades suizas en 2017, pero eso había aumentado a más de tres mil quinientos (¡3.572!) Para 2020.
El número de solicitudes extranjeras a las autoridades suizas que están siendo aprobadas también ha aumentado, aunque no tan drásticamente, y ProtonMail informó que recibió 13 solicitudes de este tipo en 2017, llegando a 195 en 2020.
La compañía dice que cumple con las solicitudes legales de datos del usuario, pero también dice que impugna los pedidos donde no cree que sean legales. Y su informe muestra un aumento en los pedidos impugnados: ProtonMail impugnó tres pedidos en 2017, pero en 2020 rechazó 750 de las solicitudes de datos que recibió.
Por ProtonMail’s política de privacidad, la información que puede proporcionar sobre una cuenta de usuario en respuesta a una solicitud válida según la ley suiza puede incluir información de cuenta proporcionada por el usuario (como una dirección de correo electrónico); actividad de la cuenta / metadatos (como remitente, direcciones de correo electrónico del destinatario; direcciones IP desde las que se originaron los mensajes entrantes; las horas en que se enviaron y recibieron los mensajes; asuntos de los mensajes, etc.); número total de mensajes, almacenamiento utilizado y última hora de inicio de sesión; y mensajes no cifrados enviados desde proveedores externos a ProtonMail. Como proveedor de correo electrónico cifrado de un extremo a otro, no puede descifrar los datos del correo electrónico, por lo que no puede proporcionar información sobre el contenido del correo electrónico, incluso cuando se entrega con una orden judicial.
Sin embargo, en su informe de transparencia, la empresa también señala una capa adicional de recopilación de datos que puede estar (legalmente) obligada a llevar a cabo, escribiendo que: “Además de los elementos enumerados en nuestra política de privacidad, en casos penales extremos, ProtonMail puede también estará obligado a controlar las direcciones IP que se utilizan para acceder a las cuentas de ProtonMail que participan en actividades delictivas “.
Sin embargo, en general, a menos que se encuentre a 15 millas de la costa en aguas internacionales, no es posible ignorar las órdenes judiciales. Andy Yen
Es ese componente de monitoreo de IP el que ha causado tanta alarma entre los defensores de la privacidad ahora, y no es poca la crítica a las afirmaciones de marketing de Proton como una empresa ‘centrada en la privacidad del usuario’.
Ha enfrentado críticas particulares por las afirmaciones de marketing de proporcionar “correo electrónico anónimo” y por la redacción de la advertencia en su divulgación de transparencia, donde habla de que el registro de IP solo ocurre en “casos criminales extremos”.
Pocos estarían de acuerdo en que los activistas contra la gentrificación cumplen ese estándar.
Al mismo tiempo, Proton proporciona a los usuarios una dirección de cebolla – lo que significa que los activistas preocupados por el seguimiento pueden acceder a su servicio de correo electrónico cifrado utilizando Tor, lo que dificulta el seguimiento de su dirección IP. Por lo tanto, está proporcionando herramientas para que los usuarios se protejan contra el monitoreo de IP (así como para proteger el contenido de sus correos electrónicos para que no sean espiados), aunque su propio servicio puede, en ciertas circunstancias, convertirse en una herramienta de monitoreo de IP por la ley suiza. aplicación.
En la reacción en torno a la revelación del registro de IP de los activistas franceses, Yen dijo a través de Twitter que ProtonMail proporcionará un enlace más destacado a su dirección de cebolla en su sitio web:
Proton también ofrece un servicio de VPN propio, y Yen ha afirmado que la ley suiza no le permite registrar las direcciones IP de sus usuarios de VPN. Por lo tanto, es interesante especular si los activistas podrían haber podido evadir el registro de IP si hubieran estado utilizando el correo electrónico cifrado de extremo a extremo de Proton y su servicio VPN …
“Si estuvieran usando Tor o ProtonVPN, habríamos podido proporcionar una IP, pero sería la IP del servidor VPN o la IP del nodo de salida de Tor”, dijo Yen a Heaven32 cuando le preguntamos sobre esto.
“Nos protegemos contra este modelo de amenaza a través de nuestro sitio Onion (protonmail.com/tor)”, agregó. “Sin embargo, en general, a menos que esté ubicado a 15 millas de la costa en aguas internacionales, no es posible ignorar las órdenes judiciales”.
“El sistema legal suizo, aunque no es perfecto, proporciona una serie de controles y contrapesos, y vale la pena señalar que incluso en este caso, se requirió la aprobación de tres autoridades en dos países, y ese es un listón bastante alto que impide a la mayoría (pero no todos) abuso del sistema “.
en un respuesta pública en Reddit, Proton también escribe que está “profundamente preocupado” por el caso, reiterando que no pudo impugnar la orden en este caso.
“La acusación en este caso parece bastante agresiva”, agregó. “Desafortunadamente, este es un patrón que hemos visto cada vez más en los últimos años en todo el mundo (por ejemplo, en Francia, donde las leyes contra el terrorismo se utilizan de manera inapropiada). Continuaremos haciendo campaña contra tales leyes y abusos ”.
En otro desarrollo preocupante que podría amenazar la privacidad de los usuarios de Internet en Europa, los legisladores de la Unión Europea han señalado que quieren trabajar para encontrar formas de permitir el acceso legal a los datos cifrados, incluso cuando simultáneamente afirman que admiten un cifrado sólido.
Una vez más, los defensores de la privacidad están preocupados.
ProtonMail y una serie de otros servicios cifrados de extremo a extremo advirtieron en una carta abierta en enero, los legisladores de la UE se arriesgan a poner a la región en un camino peligroso hacia el cifrado de puerta trasera si continúan en esta dirección.